패치된 PaperCut 취약점
인기 있는 인쇄 관리 소프트웨어 솔루션인 PaperCut은 최근 랜섬웨어 조직이 적극적으로 악용하는 두 가지 중요한 취약점에 직면했습니다. 이러한 취약점은 잠재적인 위험을 제거하기 위해 회사에서 패치되었습니다.
목차
CVE-2023-27350: 인증되지 않은 원격 코드 실행 결함
이 취약점의 CVSS v3.1 점수는 9.8로 심각한 위험 수준을 나타냅니다. 인증되지 않은 원격 코드 실행 결함으로 인해 공격자는 어떤 유형의 인증 없이도 취약한 시스템에서 임의의 코드를 실행하여 민감한 데이터에 대한 무제한 액세스와 네트워크 손상 능력을 부여했습니다. 이 취약점 의 심각성에 우려를 더하는 것은 개념 증명 코드가 공개되어 더 많은 사이버 범죄자가 이 결함을 쉽게 악용할 수 있는 지침을 제공한다는 사실입니다.
CVE-2023-27351: 인증되지 않은 정보 공개 결함
두 번째 취약점인 CVE-2023-27351은 CVSS v3.1 점수가 8.2로 높은 위험으로 간주됩니다. 이 결함으로 인해 인증되지 않은 정보 공개가 허용되었으며, 이는 공격자가 유효한 자격 증명 없이 중요한 데이터에 액세스할 수 있음을 의미합니다. 이 취약점을 악용하면 사이버 범죄자가 귀중한 정보를 얻고 잠재적으로 더 정확한 표적 공격에 사용할 수 있습니다. 원격 코드 실행 결함만큼 치명적이지는 않지만 이 취약점은 여전히 사용자의 보안과 개인 정보에 상당한 위협이 됩니다.
개념 증명 코드 공개
대중에게 공개된 개념 증명(PoC) 코드는 이러한 취약점과 관련된 위험을 높였습니다. 이 PoC 코드는 광범위한 기술 지식 없이도 이러한 결함을 악용할 수 있는 잠재적인 공격자에게 로드맵을 제공했습니다. PoC 코드 공개는 양날의 검입니다. 보안 결함에 대한 인식 확산을 돕고 보안 연구원이 패치를 개발하는 데 도움이 되는 동시에 잠재적인 공격자에게 공격을 수행할 수 있는 청사진을 제공합니다. 이러한 취약점에 대해 출시된 패치는 PaperCut 사용자와 해당 네트워크의 보안을 보장하는 데 매우 중요합니다.
PaperCut 취약점을 악용하는 악의적 행위자
PaperCut 취약점이 알려지면서 다양한 랜섬웨어 조직이 신속하게 이를 적극적으로 악용하기 시작했습니다. 이러한 악의적인 행위자 중에는 Lace Tempest 및 LockBit 랜섬웨어 변종도 있었으며, 둘 다 취약한 PaperCut 서버를 대상으로 네트워크에 침투하고 랜섬웨어 페이로드를 배포했습니다.
취약한 서버를 노리는 Lace Tempest(Clop 랜섬웨어 계열사)
잘 알려진 Clop 랜섬웨어 그룹의 계열사인 Lace Tempest는 PaperCut 취약점을 악용한 최초의 악의적인 행위자 중 하나였습니다. 인증되지 않은 원격 코드 실행 및 정보 공개 결함을 사용하여 Lace Tempest는 취약한 서버를 손상시키고 민감한 데이터 및 네트워크에 대한 무제한 액세스 권한을 얻었습니다. 이렇게 손상된 시스템에 들어가면 Lace Tempest는 Clop 랜섬웨어를 배포하여 파일을 암호화하고 암호 해독 키를 해제하기 위해 몸값을 요구했습니다.
LockBit 랜섬웨어 변종, PaperCut 서버도 표적
또 다른 악명 높은 랜섬웨어 변종인 LockBit 도 PaperCut 서버 취약점을 적극적으로 악용하고 있습니다. Lace Tempest의 전략과 유사하게 LockBit은 인증되지 않은 원격 코드 실행 및 정보 공개 결함을 악용하여 취약한 시스템에 침투했습니다. 민감한 데이터와 내부 네트워크에 액세스할 수 있는 LockBit은 랜섬웨어 페이로드를 배포하여 파일을 암호화하고 몸값을 요구했습니다. LockBit 및 Lace Tempest와 같은 악의적인 행위자가 이러한 취약점을 빠르게 채택하는 것은 이러한 PaperCut 결함의 심각성을 강조하고 사이버 위협으로부터 보호하기 위해 정기적인 소프트웨어 패치 및 업데이트의 중요성을 강조합니다.
레이스 템페스트 공격 전술
Clop 랜섬웨어 계열사인 Lace Tempest는 PaperCut 서버 취약점을 효과적으로 악용하기 위해 고유한 공격 전술을 개발했습니다. PowerShell 명령, 명령 및 제어 서버 연결, Cobalt Strike Beacon과 같은 정교한 방법을 사용하여 Lace Tempest는 성공적으로 시스템에 침투하여 랜섬웨어 페이로드를 전달했습니다.
PowerShell 명령을 사용하여 TrueBot DLL 제공
Lace Tempest의 공격은 종종 PowerShell 명령 실행으로 시작되며, 이를 사용하여 악성 TrueBot DLL(Dynamic Link Library) 파일을 대상 시스템에 전달합니다. 그런 다음 이 DLL 파일은 시스템에 로드되고 명령 및 제어 서버에 대한 연결 설정 및 추가 맬웨어 구성 요소 다운로드와 같은 추가 악의적 활동을 위한 빌딩 블록 역할을 합니다.
명령 및 제어 서버에 연결
TrueBot DLL이 배치되면 Lace Tempest의 맬웨어가 명령 및 제어(C2) 서버에 연결됩니다. 이 연결을 통해 공격자는 손상된 시스템에서 명령을 보내고 데이터를 수신하여 데이터 유출을 용이하게 하고 Cobalt Strike Beacon과 같은 추가 맬웨어 구성 요소 또는 도구를 배포할 수 있습니다.
랜섬웨어 전달에 Cobalt Strike Beacon 활용
Lace Tempest는 종종 Cobalt Strike Beacon을 공격 체인의 일부로 사용합니다. Cobalt Strike는 "Beacon"이라는 악용 후 에이전트를 포함하는 합법적인 침투 테스트 도구입니다. 안타깝게도 Lace Tempest와 같은 사이버 범죄자는 이 도구를 악의적인 목적으로 사용했습니다. 이 경우 그들은 Cobalt Strike Beacon을 사용하여 표적 시스템에 Clop 랜섬웨어를 전달합니다. 랜섬웨어가 배포되면 시스템의 파일을 암호화하고 암호 해독 키에 대한 몸값을 요구하여 피해자의 데이터를 효과적으로 인질로 잡습니다.
랜섬웨어 운영의 변화
최근 몇 년 동안 Clop과 같은 랜섬웨어 갱단의 활동에 눈에 띄는 변화가 있었습니다. 데이터 암호화에만 의존하고 암호 해독 키에 대한 몸값을 요구하는 대신 이제 공격자는 강탈 목적으로 민감한 데이터를 훔치는 것을 우선시하고 있습니다. 전술의 이러한 변화로 인해 사이버 공격은 더욱 위협적이었습니다. 이제 악의적인 행위자는 건전한 백업 전략이 있더라도 훔친 데이터를 활용하여 피해자가 몸값을 지불하도록 강요할 수 있습니다.
강탈을 위한 데이터 도용에 집중
랜섬웨어 갱단은 갈취 목적으로 데이터를 훔치는 것이 단순히 암호화에 의존하여 피해자를 인질로 잡는 것보다 더 수익성 있는 결과를 얻을 수 있다는 것을 깨달았습니다. 민감한 정보를 유출함으로써 공격자는 이제 도난당한 데이터를 다크 웹에 게시하거나 판매하겠다고 위협할 수 있으며 잠재적으로 조직에 상당한 재정적 및 평판 손상을 입힐 수 있습니다. 이렇게 가중된 압력은 피해자가 요구한 몸값을 지불할 가능성을 높입니다.
공격에서 데이터 도용의 우선순위 지정
이러한 변화에 발맞추어 Lace Tempest와 같은 랜섬웨어 갱단은 공격에서 데이터 도용을 우선적으로 처리하기 시작했습니다. PowerShell 명령, TrueBot DLL 및 Cobalt Strike Beacon을 사용하는 것과 같은 정교한 공격 전술을 개발함으로써 이러한 악의적인 행위자는 취약한 시스템에 침투하고 데이터를 암호화하기 전에 데이터를 빼내어 강탈 성공 가능성을 효과적으로 높일 수 있습니다.
데이터 유출을 위해 취약점을 악용한 Clop Gang의 역사
Clop 갱단은 데이터 유출 목적으로 취약점을 악용한 이력이 있습니다. 예를 들어, 2020년에 Clop 요원은 Global Accellion을 성공적으로 해킹하고 회사의 File Transfer Appliance 애플리케이션에서 공개된 취약점을 사용하여 약 100개 회사의 데이터를 훔쳤습니다. 보다 최근에는 Clop 갱단이 GoAnywhere MFT 보안 파일 공유 플랫폼의 제로데이 취약점을 활용하여 130개 회사의 데이터를 훔쳤습니다. 끊임없이 진화하는 랜섬웨어 환경과 결합된 데이터 도난에 대한 취약성 악용 패턴은 조직이 중요한 자산을 보호하기 위해 강력한 보안 조치를 채택하고 최신 소프트웨어를 유지해야 할 필요성을 강조합니다.