다중 라이센스 할인
Threat Database Ransomware 선인장 랜섬웨어

선인장 랜섬웨어

Ransomware년에 Mezo 년까지
번역 :
한국어

사이버 보안 연구원들은 클라우드 분석 및 비즈니스 인텔리전스 플랫폼인 Qlik Sense 내에서 새로 공개된 보안 취약점을 활용하는 CACTUS 랜섬웨어 캠페인에 대해 경고했습니다. 이 캠페인은 CACTUS 랜섬웨어를 활용하는 악의적인 행위자가 대상 환경에 대한 초기 액세스 권한을 얻기 위한 기본 방법으로 Qlik Sense의 취약성을 활용한 최초의 문서화된 사례를 의미하므로 주목할만한 발전을 나타냅니다. 이는 무단 액세스 및 잠재적인 데이터 손상을 위해 널리 사용되는 소프트웨어 플랫폼의 약점을 악용하기 위해 위협 행위자가 사용하는 전술이 진화하고 있음을 강조합니다.

CACTUS 랜섬웨어는 여러 소프트웨어 취약점을 통해 전달됩니다.

사이버 보안 분석가들은 몇 달에 걸쳐 공개된 세 가지 취약점을 악용하는 것으로 보이는 일련의 공격을 확인했습니다.

  • CVE-2023-41265(CVSS 점수: 9.9) - 이 취약점에는 HTTP 요청 터널링이 포함되어 있어 원격 공격자가 자신의 권한을 높이고 저장소 애플리케이션을 호스팅하는 백엔드 서버에서 실행되는 요청을 보낼 수 있습니다.
  • CVE-2023-41266(CVSS 점수: 6.5) - 인증되지 않은 원격 공격자가 인증되지 않은 엔드포인트에 HTTP 요청을 전송할 수 있게 하는 경로 통과 취약점입니다.
  • CVE-2023-48365(CVSS 점수: 9.9) - HTTP 헤더의 부적절한 유효성 검사로 인해 발생하는 인증되지 않은 원격 코드 실행 취약점으로, 원격 공격자가 HTTP 요청 터널링을 통해 권한을 상승시킬 수 있습니다.

CVE-2023-48365는 CVE-2023-41265에 대한 불완전한 패치의 결과라는 점에 유의하는 것이 중요합니다. CVE-2023-41266과 함께 두 가지 취약점 모두 2023년 8월 말에 공개되었으며 CVE-2023-48365에 대한 수정 사항은 2023년 9월 20일에 구현되었습니다.

관찰된 CACTUS 랜섬웨어 공격에서는 식별된 취약점이 악용되어 Qlik Sense Scheduler 서비스의 오용으로 이어졌습니다. 이를 통해 공격자는 지속성을 설정하고 원격 제어를 설정하기 위해 추가 도구를 다운로드하도록 설계된 프로세스를 생성할 수 있습니다.

이러한 공격과 관련된 추가 도구에는 UEMS(ManageEngine Unified Endpoint Management and Security), AnyDesk 및 Plink가 포함됩니다. 특히 위협 행위자는 Sophos 소프트웨어를 제거하고, 관리자 계정 비밀번호를 변경하고, Plink를 통해 RDP 터널을 생성하는 것이 관찰되었습니다. 공격 체인은 궁극적으로 CACTUS 랜섬웨어의 배포로 이어지며, 공격자는 데이터 유출을 위해 클론 도 활용합니다. 이 포괄적인 공격 전략은 CACTUS 랜섬웨어 캠페인의 정교하고 다단계적인 특성을 강조합니다.

랜섬웨어 위협 행위자들의 기술이 진화하고 있습니다

CACTUS 랜섬웨어의 출현은 랜섬웨어 위협 환경이 점점 더 정교해지고 있음을 반영합니다. 지하 경제는 초기 액세스 브로커와 봇넷 소유자 네트워크를 통해 대규모 공격을 지원하도록 진화했습니다. 이러한 기업은 피해자 시스템에 대한 액세스 권한을 여러 제휴 행위자에게 재판매하여 랜섬웨어 위협의 확대에 기여합니다.

랜섬웨어에 맞서기 위한 정부의 전 세계적 노력에도 불구하고 RaaS(Ransomware-as-a-Service) 비즈니스 모델은 여전히 대상으로부터 돈을 갈취하는 탄력적이고 수익성 있는 방법입니다. 이 모델의 수명과 수익성은 지속되므로 위협 행위자가 불법 활동에 적응하고 계속할 수 있습니다.

주목할만한 랜섬웨어 그룹 중 하나인 Black Basta는 2022년 4월에 등장했으며 90명 이상의 피해자로부터 비트코인 몸값 지불로 1억 700만 달러가 넘는 불법 이익을 축적한 것으로 추정됩니다. 최근 공동 연구에 따르면 이러한 자금의 상당 부분이 Hydra Dark Net 시장과의 거래를 촉진하기 위해 2022년 4월 미국 정부가 승인한 러시아 암호화폐 거래소인 Garantex를 통해 세탁된 것으로 나타났습니다.

또한, 분석 결과 Black Basta와 현재는 존재하지 않는 러시아 사이버 범죄 그룹 Conti 사이의 연관성이 밝혀졌습니다. Conti는 Black Basta의 등장과 동시에 활동을 중단했습니다. 또한 랜섬웨어 배포에 사용되는 도구인 QakBot 과의 연관성도 확인되었습니다. 이 복잡한 연결망은 현대 랜섬웨어 작업의 복잡하고 상호 연결된 특성을 강조합니다.

트렌드

StopAbit

Potentially Unwanted Programs, Adware, Trojans
StopAbit은 너무 좋아 포기할 수 없는 유혹적이면서도 의심스러운 온라인 제안을 연상시키는 방식으로 운영됩니다. 컴퓨터 바이러스가 사용하는 공격적인 전술과 달리 StopAbit는 속임수에 크게 의존하여 겉보기에 매력적으로 보이는 이메일이나 인기 비디오 링크를 통해 순진한 사용자를 유인합니다. 실제 위협은 사용자가 호기심에 굴복하여 이러한 사기성...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
44,893
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
38,239
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
Lookmovie.io는 안전한가요? 스크린샷

Lookmovie.io는 안전한가요?

Issue
34,766
Lookmovie.io는 동영상 스트리밍 사이트입니다. 문제는 불법 스트리밍을 위해 제공되는 콘텐츠입니다. 또한 사이트는 불량 광고 네트워크를 통해 금전적 이득을 얻습니다. 결과적으로 사용자는 종종 의심스러운 광고를 보게 되거나 웹 브라우저에서 의심스러운 웹사이트를 열게 됩니다. 실제로, 이는 불법적으로 제공되는 콘텐츠를 무시하면 사이트 자체는 안전할...
로드 중...