ClickCease 캑터스 Qlik 랜섬웨어: 악용된 취약점

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

캑터스 Qlik 랜섬웨어: 악용된 취약점

와자핫 라자

2023년 12월 13일 TuxCare 전문가 팀

사이버 공격 캠페인으로 명명된 캑터스 Qlik 랜섬웨어 로 명명된 랜섬웨어 공격이 BI 시스템에 대한 랜섬웨어 공격에서 두드러지게 나타나고 있습니다. 연구원들은 위협 행위자가 다음 세 가지를 악용하는 것에 대해 경고했습니다. Qlik 보안 취약점 을 악용하고 있다고 경고했습니다. 위협 행위자가 이러한 취약점을 악용한 방법과 Qlik이 취하고 있는 대응 조치에 대해 자세히 알아보겠습니다.


캑터스 Qlik 랜섬웨어의 세부 정보


Qlik Sense는 정부 기관에서 자주 사용하는 클라우드 기반 데이터 분석 및 비즈니스 인텔리전스(BI) 플랫폼입니다. 반면에 캑터스는 올해 5월 초에 발견된 랜섬웨어 변종입니다.
캑터스 랜섬웨어의 전술 는 알려진 VPN 어플라이언스 결함을 활용하여 초기 액세스를 확보하는 데 중점을 두었습니다.

캑터스 랜섬웨어에 대한 보고는 2023년 5월에 처음 등장했지만, 익스플로잇은 3월까지 거슬러 올라갑니다. 캑터스 해커 그룹의 전략 은 주로 암호화하기 전에 암호화되지 않은 민감한 데이터를 훔친 다음 이중 갈취 전술을 사용하는 데 중점을 두었습니다.

아틱 울프의 연구원들은 최근 발견 캑터스 위협 행위자들이 악용하는 Qlik 보안 취약점. 익스플로잇에 사용된 세 가지 CVE가 확인되었습니다. 초기 액세스 권한을 획득한 후 CACTUS의 배후에 있는 위협 행위자는 다음과 같은 여러 가지 전술을 사용하는 것으로 추정됩니다:

  1. 보안 소프트웨어 제거.
  2. 관리 로그인 변경하기.
  3. 원격 액세스 소프트웨어 설치. 
  4. 측면 이동을 위한 원격 데스크톱 프로토콜(RDP) 배포.
  5. 데이터 수집 및 랜섬웨어 배포. 

그러나 Qlik에 따르면 위협 행위자가 취약점을 악용하고 있다는 증거는 없습니다. A 진술 에서 다음과 같이 말합니다, "초기 권고에서 악의적인 악용의 증거는 발견되지 않았지만, 이러한 새로운 보고서를 열심히 조사하고 있습니다."

 

위협 행위자가 악용하는 Qlik 보안 취약점


보고서에 따르면
세 가지 취약점 지난 3개월 동안 발견된 세 가지 취약점이 악용되고 있다고 합니다. 이러한 취약점은 다음과 같습니다:

  1. CVE-2023-41265 - 심각도 등급이 9.9인 HTTP 요청 터널링 취약점입니다. 이 취약점이 악용될 경우, 위협 행위자는 자신의 권한을 상승시킬 수 있습니다. 또한, 사이버 범죄자가 백엔드 서버에서 실행되는 요청을 전송할 수 있게 됩니다.
  2. CVE-2023-41266 - 심각도 점수가 6.5인 이 경로 횡단 취약점은 원격 공격자가 악용하여 권한이 없는 엔드포인트로 HTTP 요청을 전송할 수 있습니다.
  3. CVE-2023-48365 - a 원격 코드 실행 HTTP 헤더의 부정확한 유효성 검사로 인해 널리 퍼지고 HTTP 요청 터널링을 통해 권한 상승으로 이어지는 심각도 점수 9.9의 취약점입니다.

CVE-2023-41265 및 CVE-2023-41266 은 8월에 발견되었고에 발견되었고 다음 달에 패치가 릴리스되었습니다. 그러나 패치가 불완전하여 CVE-2023-48365가 발생했습니다.


캑터스 해커 그룹이 공격에 사용한 전략


위협 행위자는 초기 익스플로잇 이후 PowerShell과 백그라운드 인텔리전트 전송 서비스(BITS)를 사용하여 공격을 수행한 것으로 추정됩니다. 이들은 아래에 언급된 도구를 사용하여 네트워크 내에서 지속성을 구축하고 시스템을 원격으로 제어했습니다.

  • AnyDesk 원격 솔루션.
  • 이름이 변경된 PuTTY 링크는 "putty.exe."
  • Qlik 파일로 가장한 실행 파일의 이름을 변경하기 위한 ManageEngine UMES. 

위반 Qlik Sense 보안 조치공격자는 관리자 비밀번호를 변경하여 Sophos의 엔드포인트 보안 솔루션을 제거했습니다. 이 시점부터 PuTTY 링크를 사용하여 네트워크 내에서 측면 이동을 수행하기 위해 RDP를 설정했습니다.

그런 다음 캑터스 공격자들은 위즈트리를 사용하여 디스크 공간을 분석하고 이름을 바꾼 후 "svchost.exe" 로 이름을 바꾸어 데이터를 수집한 후, 영향을 받은 일부 시스템에 랜섬웨어를 배포했습니다.


Qlik Sense 대응 조치 


아틱 울프에 따르면 추가적인 기술적 세부 사항은 사고 대응 조사가 마무리되는 대로 공개될 예정입니다. 연구원들은 현재 다음과 같이 밝혔습니다.
"모든 침입에서 관찰된 상당한 중복을 근거로 볼 때, 설명된 모든 공격이 동일한 위협 행위자의 소행이며, 이 위협 행위자가 Cactus 랜섬웨어를 배포한 것으로 추정됩니다."

반면에 Qlik은 8월과 9월에 패치를 릴리스하고 고객에게 Windows용 Qlik Sense Enterprise를 업그레이드할 것을 촉구했습니다. 최근의 익스플로잇에 대해 다음과 같이 언급했습니다, "모든 고객이 이러한 패치를 적용했는지 확인할 것을 강력히 권장합니다. Qlik은 시스템을 보호하기 위해 최선을 다하고 있으며 추가 정보가 제공되는 대로 제공할 것입니다."

40,000명의 고객에게 서비스를 제공한다고 주장하는 Qlik은 이러한 취약점을 위협 행위자에게 가장 중요한 가치로 삼고 있다는 점을 언급할 필요가 있습니다. 캑터스 Qlik 랜섬웨어 공격은 다음과 같은 전략에 대한 사이버 보안 데이터 시각화를 위한 및 분석 소프트웨어의 사이버 보안 전략에 대한 경각심을 일깨워 줍니다.


결론 


연구원들은 CACTUS 랜섬웨어를 배포하려는 위협 행위자가 Qlik Sense 솔루션의 취약점을 악용하는 것을 관찰했습니다. 이 랜섬웨어와 그 변종의 배후에 있는 해커의 활동은 2023년 3월로 거슬러 올라갑니다.

이러한 공격자는 인증된 액세스 권한을 획득하고, 원격 제어를 설정하고, 측면 이동을 통해 데이터를 수집하고, 랜섬웨어를 배포합니다. 이러한 이벤트의 심각성과 잠재적인 부정적 영향 때문에 사전 예방적 사이버 보안 조치 사전 예방적 사이버 보안 조치가 필요합니다.

이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스SecurityWeek.

 

요약
캑터스 Qlik 랜섬웨어: 악용된 취약점
기사 이름
캑터스 Qlik 랜섬웨어: 악용된 취약점
설명
캑터스 Qlik 랜섬웨어에 대해 자세히 알아보고 진화하는 사이버 위협에 대한 최신 정보를 유지하여 네트워크와 인프라를 안전하게 보호하세요.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기