Night Sky 랜섬웨어, VMware Horizon 서버 해킹에 Log4Shell 악용해

Night Sky ransomware operators exploit Log4Shell to target hack VMware Horizon servers

 

Night Sky 랜섬웨어가 Log4j 라이브러리의 Log4Shell 취약점(CVE-2021-44228)을 악용하여 VMware Horizon 시스템에 접근하기 시작한 것으로 나타났습니다.

 

이 랜섬웨어 그룹은 2021년 12월 27일 활동을 시작했으며, 이미 방글라데시와 일본 내 두 조직의 기업 네트워크를 해킹했습니다. 또한 이들은 Tor 네트워크에 랜섬머니를 지불하지 않는 피해자로부터 훔친 파일을 게시할 유출 사이트를 개설했습니다.

 

이 랜섬웨어는 MalwareHunterteam의 연구원이 처음으로 발견했습니다. 이는 파일을 암호화한 후 암호화된 파일 이름에 '.nightsky' 확장자를 추가합니다.

 

1월 초, 공격자는 인터넷에 노출된 VMware Horizon 시스템을 타깃으로 삼기 시작했습니다. VMware는 2111, 7.13.1, 7.10.3 버전을 공개해 Horizon의 Log4Shell 취약점을 패치했지만, 안타깝게도 여전히 온라인에는 패치되지 않은 많은 시스템이 노출된 상태입니다.

 

지난 월요일, 마이크로소프트는 인터넷에 노출된 VMware Horizon 시스템의 Log4Shell 취약점을 악용하여 Night Sky 랜섬웨어를 배포하는 중국 기반 공격자인 DEV-0401이 실행하는 새로운 캠페인에 대해 경고했습니다.

 

마이크로소프트에 따르면, 랜섬웨어 운영자는 NightSky 랜섬웨어를 배포하기 위해 노출된 시스템을 해킹했습니다. DEV-0401 운영자는 과거 캠페인에서 LockFile, AtomSilo를 포함한 다양한 랜섬웨어 패밀리를 배포했습니다.

 

마이크로소프트는 아래와 같이 밝혔습니다.

 

“1월 4일, 공격자들은 VMware Horizon을 실행하는 인터넷에 연결된 시스템에서 CVE-2021-44228 취약점을 악용하기 시작했습니다. 조사에 따르면, 이러한 캠페인의 침입이 성공할 경우 NightSky 랜섬웨어가 배포되었습니다."

 

“해당 공격은 우리가 DEV-0401이라 명명한 중국 기반 랜섬웨어 운영자의 작업입니다. DEV-0401은 이전에 LockFile, AtomSilo, Rook을 포함한 다양한 랜섬웨어 패밀리를 배포했으며 Confluence(CVE-2021-26084) 및 사내 Exchange 서버(CVE-2021-34473)를 실행하는 인터넷 연결 시스템 내 취약점을 악용했습니다.”

 

마이크로소프트에 따르면, Night Sky 랜섬웨어 운영자는 사이버 보안 회사인 Trend Micro, Sophos와 같은 합법적인 회사와 Nvidia, Rogers Corporation과 같은 IT 회사에서 사용하는 도메인으로 위장한 C2 서버를 사용했습니다.

 

 

지난 몇 주 동안 다른 랜섬웨어 운영자들도 공격에 Log4Shell을 악용했으며, 12월 중순 이후 CVE-2021-44228 취약점을 악용한 첫 번째 그룹은 Conti 랜섬웨어 였습니다.

 

같은 기간, Bitdefender의 연구원들은 공격자가 Log4Shell 취약점을 악용하여 윈도우 시스템에 새로운 Khonsari 랜섬웨어를 배포하려는 시도를 발견했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/126569/cyber-crime/night-sky-ransomware-log4shell.html

https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

https://raw.githubusercontent.com/Azure/Azure-Sentinel/master/Sample%20Data/Feeds/Log4j_IOC_List.csv (IOC)