보안정보

 

최근 사이버 범죄자들은 ProxyLogon Exchange Server의 취약점을 이용하여 "DearCry"라고 불리는 새로운 종류의 랜섬웨어를 설치하고 있다.

 

Microsoft의 연구원인 Phillip Misner는 "새로운 그룹에 의해 운영되는 Ransom:Win32/DoejoCrypt.A 랜섬웨어 공격을 탐지했으며, 이는 Microsoft Exchange 취약점을 이용하여 고객을 공격하고 있다"고 말했다.

 

Microsoft의 보안 인텔리전스 팀은 별도의 트윗을 통해 "패치되지 않은 온프레미스 Exchange Server의 초기 손상 이후 새로운 랜섬웨어 제품군을 차단하기 시작했다"고 밝혔다.

 

[그림 1. 랜섬웨어 관련 트윗]

 

Loman은 "방어자들은 Microsoft Exchange 패치를 설치해야만 하며, 이것이 가능하지 않다면 서버를 인터넷에서 연결 해제하거나 위협 대응팀을 통해 모니터링해야한다"고 말했다.

 

취약ㅈ점을 성공적으로 무기화하면 공격자가 피해자의 Exchange Server에 액세스하여 엔터프라이즈 네트워크에 대한 지속적인 시스템 액세스 및 제어 권한을 얻을 수 있다. 새로운 랜섬웨어 위협으로 인해 패치되지 않은 서버는 잠재적인 데이터 도난 위험에 노출될 뿐만 아니라 데이터가 암호화될 수 있다.

 

보안 연구원에 의해 PoC 코드가 Microsoft GitHub에 게시되었지만 이 코드가 공격에 활발하게 악용되어 회사에 의해 삭제되었다.

 

이러한 결정에 대한 생각은 연구원들끼리도 의견이 갈렸는데, TrustedSec의 Dave Kennedy는 "이미 패치된 취약점이며 그것은 PoC이지 실제 동작하는 Exploit이 아니다."라고 말했고, 보안 연구원인 Marcus Hutchins는 트위터에서 "취약점 패치가 이미 공개되었지만, 아직 패치되지 않은 서버가 5만개가 넘는다. RCE 체인은 완전히 공개하는 것은 보안 연구가 아니라 무모하고 어리석은 일이다." 라고 말했다.

 

출처

https://thehackernews.com/2021/03/icrosoft-exchange-ransomware.html