|
해커들이 패치되지 않은 VPN을 악용하여 산업 목표에 랜섬웨어 설치 침해사고분석팀 2021.04.09 |
|
|
패치되지 않은 Fortinet VPN 기기가 기업 네트워크 내부에 'Cring'이라는 새로운 종류의 랜섬웨어를 배포하기 위해 유럽에서 산업 기업을 대상으로 하는 일련의 공격에서 표적이 되고 있다.
사이버 보안업체 Kaspersky는 보고서에서 해킹 사고로 적어도 한 곳 이상은 생산 현장이 일시적으로 중단되었다고 밝혔다.
공격은 2021년 1분기(1월~3월)에 발생했다.
Kaspersky ICS CERT의 보안 연구원 Vyacheslav Kopeytsev는 "공격에 대한 다양한 세부 사항은 공격자가 정찰 단계에서 수집한 정보를 바탕으로 대상 조직의 인프라를 치밀하게 분석하고 자체 인프라와 도구 세트를 준비했음을 보여준다"고 말했다.
이번 공개는 FBI와 CISA가 CVE-2018-13379에 취약한 Fortinet SSL VPN 어플라이언스를 적극적으로 검색하는 APT 위협 행위자에게 경고한 지 며칠 만에 나온 것이다.
"APT 위협 행위자는 이러한 취약점 또는 기타 일반적인 공격 기술을 사용하여 여러 정부, 상업 및 기술 서비스에 대한 초기 액세스를 확보할 수 있다. 초기 액세스를 확보하면 APT 위협 행위자들이 공격할 수 있다."
[그림1. CVE-2018-13379 PoC 코드]
CVE-2018-13379는 FortiOS SSL VPN 웹 포털의 path Traversal 취약점과 관련이 있으며, 이를 통해 인증되지 않은 공격자가 세션 파일을 포함하여 일반 텍스트에 저장된 사용자 이름과 패스워드를 포함하여 임의 시스템 파일을 읽을 수 있다.
포티넷은 2019년 5월 취약점 패치가 공개됐지만, 지난해 11월 패치되지 않은 VPN 어플라이언스를 다수 확인했다고 밝히면서 인터넷에 연결된 취약한 기기의 IP 주소가 다크웹에서 판매되고 있다고 경고한 바 있다.
Kaspersky 연구원은 "주요 단계 이전에 공격자들이 VPN 게이트웨이에 대한 테스트 연결을 수행하여 도난된 사용자 자격 증명이 여전히 유효한지 확인했다."고 말했다.
액세스 권한을 얻으면 공격자는 Mimikatz 유틸리티를 사용하여 이전에 손상된 시스템에 로그인한 Windows 사용자의 계정 자격 증명을 빼내어 도메인 관리자 계정에 침입하고 결국에는 Cobalt Strike 프레임 워크를 사용하여 원격으로 각 머신에 Cring 랜섬웨어를 배포한다.
통신사 Swisscom이 2021년 1월 처음 관찰한 초기 변종인 Cring은 모든 백업 파일의 흔적을 제거하고 MS Office와 Oracle Database 프로세스를 종료한 후 강력한 암호화 알고리즘을 사용해 특정 파일을 암호화한다. 암호화에 성공하면 두 개의 비트코인 지불을 요구하는 랜섬노트가 삭제된다.
[그림2. Cring 랜섬웨어 완화 조치]
또한 위협 행위자는 탐지를 피하기 위해 'kaspersky'라는 이름으로 악의적인 PowerShell 스크립트를 위장하여 활동을 숨기고 랜섬웨어 페이로드를 호스팅하는 서버가 유럽 국가에서 들어오는 요청에만 응답하도록 했다.
Kopeytsev는 "공격자들의 활동을 분석한 결과 공격자들이 공격 조직의 네트워크에서 수행한 정찰 결과를 바탕으로 기업 운영에 가장 큰 피해를 줄 것으로 생각되는 서버 암호화를 선택했음을 보여준다"고 말했다.
출처 https://thehackernews.com/2021/04/hackers-exploit-unpatched-vpns-to.html |
