해커는 조직에서 데이터를 훔치기 위해 MOVEit Transfer 파일 전송 소프트웨어의 제로데이 취약점을 적극적으로 악용하고 있다. MOVEit Transfer는 미국에 기반을 둔 Progress Software Corporation의 자회사인 Ipswitch에서 개발한 관리형 파일 전송(MFT) 솔루션으로, 기업이 SFTP, SCP 및 HTTP 기반 업로드를 사용하여 비즈니스 파트너와 고객 간에 파일을 안전하게 전송할 수 있도록 한다. Progress MOVEit Transfer는 고객이 관리하는 온프레미스 솔루션과 개발자가 관리하는 클라우드 SaaS 플랫폼으로 제공된다. 보안 기술 포럼은 위협 행위자가 MOVEit MFT 소프트웨어의 제로데이를 악용하여 조직의 데이터를 대량으로 다운로드하고 있음을 확인했다. 공격이 발생한 시기와 공격 배후에 있는 위협 행위자가 무엇인지는 불분명하지만 수많은 조직이 침해를 당하고 데이터가 도난당했다고 한다. 어제 Progress는 고객에게 MOVEit MFT의 "심각한" 취약점에 대해 경고하는 보안 권고를 발표하여 패치가 설치될 때까지 완화 조치를 제공했다. "Progress는 MOVEit Transfer에서 승격된 권한과 환경에 대한 잠재적인 무단 액세스로 이어질 수 있는 취약점을 발견했다."라고 보안 권고에 설명되었다. "귀하가 MOVEit Transfer 고객인 경우 당사 팀이 패치를 생성하는 동안 MOVEit Transfer 환경을 보호하기 위해 아래에 설명된 대로 즉각적인 조치를 취하는 것이 매우 중요하다." 개발자는 악용을 방지하기 위해 관리자에게 MOVEit Transfer 서버의 포트 80 및 443에 대한 외부 트래픽을 차단하도록 경고한다. Progress는 이러한 포트를 차단하면 웹 UI에 대한 외부 액세스가 차단되고 일부 MOVEit 자동화 작업이 작동하지 않으며 API가 차단되고 Outlook MOVEit Transfer 플러그인이 작동하지 않을 것이라고 경고한다. 그러나 SFTP 및 FTP/s 프로토콜은 파일 전송에 계속 사용할 수 있다. 또한 개발자는 관리자에게 'c:MOVEit Transferwwwroot' 폴더에 백업이나 대용량 파일 다운로드를 포함하여 예상치 못한 파일이 있는지 확인하라고 경고한다. 보안 기술 포럼이 학습한 정보에 따르면 대용량 다운로드 또는 예기치 않은 백업은 위협 행위자가 데이터를 훔쳤거나 그 과정에 있음을 나타내는 지표일 수 있다. 제로데이 취약점에 대한 정보는 공개되지 않았다.  그러나 차단된 포트와 비정상적인 파일을 확인하기 위해 지정된 위치를 기반으로 이 결함은 웹 관련 취약점일 가능성이 높다. 귀하의 버전에 대한 패치가 출시될 때까지 조직은 패치를 적용하고 서버를 다시 활성화하기 전에 모든 MOVEit 전송을 종료하고 침해에 대한 철저한 조사를 수행하는 것이 좋다.     [그림1. 사용 가능한 패치가 있는 MOVEit Transfer 버전의 현재 목록] 사이버 보안 회사는 MOVEit Transfer 결함이 원격 코드 실행으로 이어지는 SQL 인젝션 취약점이며 현재 CVE가 할당되어 있지 않다고 밝혔다. 보안 회사는 노출된 MOVEit Transfer 서버가 2,500개에 달하며, 대부분은 미국에 있으며, 악용된 모든 장치에서 동일한 웹 셸이 발견되었다고 말한다. 이 웹쉘의 이름은 'human2.asp'[VirusTotal]이며 c:MOVEit Transferwwwroot public HTML 폴더에 있다. "웹셸 코드는 먼저 인바운드 요청에 X-siLock-Comment라는 헤더가 포함되어 있는지 확인하고 헤더가 특정 암호와 같은 값으로 채워지지 않은 경우 404 "Not Found" 오류를 반환한ㄷ다.'라고 보안 회사는 설명한다.     [그림2. MOVEit Transfer Servers에 익스플로잇을 통해 설치된 Webshell] 보안 기술 포럼의 분석에 따르면 웹쉘에 액세스하고 올바른 암호가 제공되면 스크립트는 'X-siLock-Step1', 'X-siLock-Step1' 및 'X-siLock-Step3' 요청 헤더의 값을 기반으로 다양한 명령을 실행한다. 이러한 명령을 통해 공격자는 MOVEit Transfer의 MySQL 서버에서 다양한 정보를 다운로드하고 다음과 같은 다양한 작업을 수행할 수 있다. ● 저장된 파일 목록, 파일을 업로드한 사용자 이름 및 파일 경로를 검색한다. ● 로그인 이름이 'Health Check Service'인 MOVEit Transfer 사용자라는 임의의 이름을 새로 삽입 및 삭제하고 새 MySQL 세션을 생성한다. ● Progress 도움말 문서에 설명된 대로 AzureBlobStorageAccount, AzureBlobKey 및 AzureBlobContainer 설정을 포함하여 구성된 AzureBlobStorage 계정에 대한 정보를 검색한다. 위협 행위자는 이 정보를 사용하여 피해자의 AzureBlobStorage 컨테이너에서 직접 데이터를 훔칠 수 있다. ● 서버에서 파일을 다운로드한다. MOVEit Transfer 관리자는 또한 한 번 침해된 후 App_Web_feevjhtu.dll과 같은 파일이 하나만 있어야 하는데 여러 개의 임의 이름의 App_Web_<random>.dll 파일을 발견하고 있다고 보고했다. 또한 다음 IP 주소가 공격과 연관되어 있다고 보고한다. ● 138.197.152[.]201 ● 209.97.137[.]33 ● 5.252.191[.]0/24 ● 148.113.152[.]144 (커뮤니티에 의해 보고됨) ● 89.39.105.108 보안 기술 포럼은 적은 수의 직원이 시스템을 모니터링하는 미국 현충일 연휴 동안 공격이 시작되었다고 들었다. 이는 또한 사이버 보안 회사의 CTO에 의해 확인되었으며, 그는 공격이 5월 27일에 시작되었음을 보여준다. "사이버 보안 회사는 현재 MOVEit 관리 파일 전송 제로데이 취약점 악용과 관련된 여러 침입을 조사하고 있다. 지난 며칠 동안 대규모 악용과 광범위한 데이터 절도가 발생했다."라고 말했다. "시스템을 패치하는 것 외에도 MOVEit Transfer를 사용하는 모든 조직은 시스템이 이미 손상되었는지, 데이터가 도난당했는지 확인하기 위해 포렌식적으로 시스템을 조사해야 한다. 보안 회사는 아직 위협 행위자의 동기를 알지 못하지만 조직은 훔친 데이터의 공개와 잠재적 갈취에 대비해야 한다." 사이버 보안 연구원은 MOVEit Transfer SaaS 플랫폼도 이 취약점의 영향을 받아 잠재적인 피해자 기반이 훨씬 더 커졌다는 말을 확실히 들었다고 말했다. Progress Software는 게시 후 보안 기술 포럼과 공유한 성명서에서 MOVEit Cloud 플랫폼이 영향을 받았다고 확인했다. Progress Software는 "문제를 확인했을 때 고객의 안전을 보장하기 위해 MOVEit Cloud를 중단하는 등 즉각적인 조치를 취했으며 상황의 심각성을 검토했다."라고 말했다. "우리는 또한 고객에게 먼저 즉각적인 조치에 대한 지침을 제공한 다음 패치 릴리스에 대해 알렸다. 여기에서 온프레미스 및 클라우드에 대한 완화 단계를 검토할 수 있다." Progress는 이 취약점이 적극적으로 악용되고 있다고 밝히지 않았지만 제로데이를 사용하여 데이터를 도난당한 수많은 조직이 있다. 현재 위협 행위자는 피해자를 강탈하기 시작하지 않았으므로 공격 배후에 누가 있는지 불분명하다. 그러나 이 공격은 2023년 1월 GoAnywhere MFT 제로데이 대량 공격 및 2020년 12월 Accellion FTA 서버 제로데이 공격과 매우 유사하다. 이 두 제품 모두 데이터를 훔치고 조직을 갈취하기 위해 Clop 랜섬웨어 갱단이 많이 악용한 관리형 파일 전송 플랫폼이다. 출처 https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/

[그림 1. AWS에서 호스팅되는 악성 페이지] 피해자는 페이지의 하이퍼링크를 클릭하고 CMD 확장자가 포함된 배치 파일이 포함된 RAR 아카이브를 다운로드한다.  이 파일은 C2 서버에서 트로이 목마 DLL과 합법적인 실행 파일 집합을 가져오는 PowerShell 스크립트를 다운로드한다. 이 트로이 목마는 다른 C2 서버에서 마지막 두 페이로드를 가져오기 위해 실행된다.  하나는 PowerShell 다운로더 스크립트이고 다른 하나는 Horabot 바이너리이다. [그림 3. 피싱 양식 생성 코드] 피해자의 컴퓨터에서 수집된 모든 정보는 HTTP POST 요청을 통해 공격자의 명령 및 제어 서버로 전송된다. 한 사이버 보안 회사는 이 트로이 목마가 샌드박스나 디버거와 함께 실행되는 것을 방지하기 위해 몇 가지 기본 제공 안티 분석 메커니즘을 가지고 있다고 설명한다. ZIP 아카이브에는 "_upyqta2_J.mdat"라는 이름의 암호화된 스팸 도구 DLL도 포함되어 있다.  이 DLL은 Gmail, Hotmail, Yahoo와 같은 인기 있는 웹메일 서비스의 자격 증명을 도용하도록 설계되었다. 자격 증명이 손상되면 이 도구는 피해자의 이메일 계정을 인계받아 스팸 이메일을 생성하고 피해자의 사서함에 있는 연락처로 전송하여 감염을 다소 무작위로 진행한다. 이 도구는 또한 키로깅, 스크린샷 스냅, 마우스 이벤트 가로채기 또는 추적 기능을 갖추고 있으며 중복성을 위해 뱅킹 트로이 목마와 기능적으로 중복된다. 피해자의 시스템에 드롭된 기본 페이로드는 문서화된 PowerShell 기반 봇넷인 Horabot이다.    이 봇넷은 피해자의 Outlook 사서함을 대상으로 하여 연락처를 훔치고 악성 HTML 첨부 파일이 포함된 피싱 이메일을 유포한다. 맬웨어는 피해자의 데스크톱 Outlook 응용 프로그램을 시작하여 사서함 내용에서 주소록과 연락처를 면밀히 조사한다. "초기화 후 [Horabot] 스크립트는 피해자 프로필의 Outlook 애플리케이션 데이터 폴더에서 Outlook 데이터 파일을 찾는다."라고 회사는 설명한다 . "피해자의 Outlook 데이터 파일에 있는 모든 폴더와 이메일을 열거하고 이메일의 보낸 사람, 받는 사람, 참조 및 숨은 참조 필드에서 이메일 주소를 추출한다." [그림 5. Horabot 감염 흐름] 피싱 메일 유포 프로세스가 완료되면 로컬에서 생성된 파일 및 폴더를 삭제하여 흔적을 지운다. 이 Horabot 캠페인은 주로 멕시코, 우루과이, 브라질, 베네수엘라, 아르헨티나, 과테말라 및 파나마의 사용자를 대상으로 하지만 동일하거나 협력하는 공격자는 영어로 작성된 피싱 테마를 사용하여 언제든지 다른 시장으로 범위를 확장할 수 있다. 출처 https://www.bleepingcomputer.com/news/security/new-horabot-campaign-takes-over-victims-gmail-outlook-accounts/

    연구원들은 애플리케이션 보안 도구의 탐지를 회피하기 위해 컴파일된 Python 코드를 사용하는 Python Package Index(PyPI) 리포지토리에 대한 새로운 공격을 발견했다. 보안 회사의 분석가는 보고서에서 "Python 바이트코드(PYC) 파일을 직접 실행할 수 있다는 사실을 이용한 최초의 공급망 공격일 수 있다."라고 말했다. 문제의 패키지는 fshec2이며, 같은 날 공개에 이어 2023년 4월 17일 패키지 레지스트리에서 제거되었다. PYC 파일은 Python 프로그램이 실행될 때 Python 인터프리터에 의해 생성되는 컴파일된 바이트코드 파일이다. Python 문서는 "모듈을 처음 가져올 때(또는 현재 컴파일된 파일이 생성된 이후 소스 파일이 변경된 경우) 컴파일된 코드를 포함하는 .pyc 파일은 .py 파일이 포함된 디렉터리의 __pycache__ 하위 디렉터리에 생성되어야 한다."라고 설명한다. 소프트웨어 공급망 보안 회사에 따르면 이 패키지에는 _init_.py, main.py 및 full.pyc의 세 파일이 포함되어 있으며 마지막 파일에는 악성 기능이 포함되어 있다. "패키지의 진입점은 다른 일반 텍스트 파일인 main.py에서 함수를 가져오는 __init__.py 파일에서 발견되었다. 여기에는 다른 파일 중 하나인 full.pyc에 위치한 Python 컴파일 모듈의 로드를 담당하는 Python 소스 코드가 포함되어 있다."라고 연구원은 지적했다.     [그림1. 디컴파일된 파이썬 소스 코드 파일] 이는 .pyc 파일에 있는 코드를 로드하고 실행하기 위해 일반 가져오기가 아닌 importlib 패키지를 사용하여 이루어진다. PYC 파일의 리버싱 버전을 분석한 결과 하드 코딩된 서버(13.51.44[.246])에서 호스트에서 실행할 명령을 가져올 뿐만 아니라 사용자 이름, 호스트 이름 및 디렉터리 목록을 수집하도록 구성된 것으로 나타났다. 보안 회사는 또한 해당 모듈이 다운로드되고 실행된 후 다른 Python 스크립트를 실행하는 것을 관찰했으며, 이 스크립트는 위협 행위자가 원하는 대로 수정할 수 있는 파일 내에 새로운 명령을 가져오는 역할을 담당한다. 명령 및 제어 서버에 대한 추가 조사에서 ID로 파일을 다운로드할 수 있도록 하는 잘못된 구성이 발견되었다.  이 ID는 인증 없이 1부터 순차적으로 번호가 매겨진다.  이것은 공격이 정교한 행위자에 의해 조정되지 않았을 가능성이 높다는 것을 나타낸다. 이 개발은 보안 솔루션의 탐지를 피하기 위해 다양한 난독화 기술을 채택하려는 위협 행위자의 노력의 연속이다. 연구원은 "fshec2 패키지에서 발견된 것과 같은 로더 스크립트는 최소한의 Python 코드를 포함하고 간단한 작업을 수행한다. 즉, 컴파일된 Python 모듈을 로드하는 것이다."라고 말했다.  "악성 모듈일 뿐이다." 출처 https://thehackernews.com/2023/06/malicious-pypi-packages-using-compiled.html