캑터스 Qlik 랜섬웨어: 악용된 취약점

사이버 공격 캠페인으로 명명된 캑터스 Qlik 랜섬웨어 로 명명된 랜섬웨어 공격이 BI 시스템에 대한 랜섬웨어 공격에서 두드러지게 나타나고 있습니다. 연구원들은 위협 행위자가 다음 세 가지를 악용하는 것에 대해 경고했습니다. Qlik 보안 취약점 을 악용하고 있다고 경고했습니다. 위협 행위자가 이러한 취약점을 악용한 방법과 Qlik이 취하고 있는 대응 조치에 대해 자세히 알아보겠습니다.

캑터스 Qlik 랜섬웨어의 세부 정보

Qlik Sense는 정부 기관에서 자주 사용하는 클라우드 기반 데이터 분석 및 비즈니스 인텔리전스(BI) 플랫폼입니다. 반면에 캑터스는 올해 5월 초에 발견된 랜섬웨어 변종입니다. 캑터스 랜섬웨어의 전술 당시에는 알려진 VPN 어플라이언스 결함을 활용하여 초기 액세스 권한을 획득하는 데 집중했습니다.

캑터스 랜섬웨어에 대한 보고는 2023년 5월에 처음 등장했지만, 익스플로잇은 3월까지 거슬러 올라갑니다. 캑터스 해커 그룹의 전략 은 주로 암호화하기 전에 암호화되지 않은 민감한 데이터를 훔친 다음 이중 갈취 전술을 사용하는 데 중점을 두었습니다.

아틱 울프의 연구원들은 최근 발견한 캑터스 위협 행위자들이 악용하는 Qlik 보안 취약점. 익스플로잇에 사용되는 세 가지 CVE가 확인되었습니다. 초기 액세스 권한을 얻은 후 CACTUS 배후에 있는 위협 행위자는 다음과 같은 여러 전술을 사용하는 것으로 추정됩니다:

1. 보안 소프트웨어 제거하기.
2. 관리 로그인 변경하기.
3. 원격 액세스 소프트웨어 설치. 
4. 측면 이동을 위한 원격 데스크톱 프로토콜(RDP) 배포.
5. 데이터를 수집하고 랜섬웨어를 배포합니다. 

그러나 Qlik에 따르면 위협 행위자가 취약점을 악용하고 있다는 증거는 없습니다. A 진술 은 다음과 같습니다, "초기 권고에는 악의적인 악용의 증거가 나타나지 않았지만, 이러한 새로운 보고서를 열심히 조사하고 있습니다."

위협 행위자가 악용하는 Qlik 보안 취약점

보고서에 따르면 세 가지 취약점 지난 3개월 동안 발견된 세 가지 취약점이 악용되고 있다고 언급했습니다. 이러한 취약점은 다음과 같습니다:

1. CVE-2023-41265 - 심각도 등급이 9.9인 HTTP 요청 터널링 취약점입니다. 이 취약점을 악용하면 위협 행위자가 권한을 상승시킬 수 있습니다. 또한, 사이버 범죄자가 백엔드 서버에서 실행되는 요청을 전송할 수 있게 해줍니다.
2. CVE-2023-41266 - 심각도 점수가 6.5인 이 경로 횡단 취약점은 원격 공격자가 악용하여 권한이 없는 엔드포인트에 HTTP 요청을 전송할 수 있습니다.
3. CVE-2023-48365 - a 원격 코드 실행 HTTP 헤더의 부정확한 유효성 검사로 인해 널리 퍼지고 HTTP 요청 터널링을 통해 권한 상승으로 이어지는 심각도 점수 9.9의 취약점입니다.

CVE-2023-41265와 CVE-2023-41266 이 8월에 발견되었고에 발견되었고 다음 달에 패치가 릴리스되었습니다. 그러나 패치가 불완전하여 CVE-2023-48365가 발생했습니다.

공격 중 사용된 캑터스 해커 그룹의 전략

초기 익스플로잇 이후, 위협 행위자는 파워셸과 백그라운드 지능형 전송 서비스(BITS)를 사용하여 공격을 수행한 것으로 추정됩니다. 이들은 아래에 언급된 도구를 사용하여 네트워크 내에서 지속성을 구축하고 시스템을 원격으로 제어했습니다.

• AnyDesk 원격 솔루션.
• 이름이 변경된 PuTTY 링크는 "putty.exe."
• Qlik 파일로 가장한 실행 파일의 이름을 바꾸기 위해 ManageEngine UMES를 사용합니다. 

위반하려면 Qlik Sense 보안 조치공격자는 관리자 비밀번호를 변경하여 Sophos의 엔드포인트 보안 솔루션을 제거했습니다. 이 시점부터 PuTTY 링크를 사용하여 네트워크 내에서 측면 이동을 수행하기 위해 RDP를 설정했습니다.

그런 다음 캑터스 공격자들은 위즈트리를 사용하여 디스크 공간을 분석하고 이름을 바꾼 후 "svchost.exe" 로 이름을 바꾸어 데이터를 수집한 후, 영향을 받은 일부 시스템에 랜섬웨어를 배포했습니다.

Qlik Sense 대응 조치 

아틱 울프에 따른 자세한 기술적 세부 사항은 사고 대응 조사가 마무리되는 대로 공개될 예정입니다. 연구원들은 현재 다음과 같이 밝혔습니다. "모든 침입에서 관찰된 상당한 중복성을 바탕으로 설명된 모든 공격이 동일한 위협 행위자가 Cactus 랜섬웨어를 배포한 것으로 추정합니다."

반면에 Qlik은 8월과 9월에 패치를 릴리스했으며 고객에게 Windows용 Qlik Sense Enterprise를 업그레이드할 것을 촉구했습니다. 최근 익스플로잇에 대해 다음과 같이 언급했습니다, "모든 고객이 이러한 패치를 적용했는지 확인할 것을 강력히 권장합니다. Qlik은 시스템을 보호하기 위해 최선을 다하고 있으며 추가 정보가 제공되는 대로 제공할 것입니다."

Qlik은 40,000명의 고객에게 서비스를 제공한다고 주장하므로 이러한 취약점이 위협 행위자에게 가장 중요한 가치가 있다는 점을 언급할 필요가 있습니다. CACTUS Qlik 랜섬웨어 공격은 다음과 같은 전략에 대한 사이버 보안 데이터 시각화 및 분석 소프트웨어의 사이버 보안 전략에 대한 경각심을 일깨워줍니다.

결론 

연구원들은 CACTUS 랜섬웨어를 배포하려는 위협 행위자가 Qlik Sense 솔루션의 취약점을 악용하는 것을 관찰했습니다. 이 랜섬웨어와 그 변종의 배후에 있는 해커의 활동은 2023년 3월로 거슬러 올라갑니다.

이러한 공격자는 권한 있는 액세스 권한을 얻고, 원격 제어를 설정하고, 측면 이동을 통해 데이터를 수집하고, 랜섬웨어를 배포합니다. 이러한 사건의 심각성과 잠재적인 부정적 영향 때문에 다음과 같은 사전 예방적 사이버 보안 조치 선제적인 사이버 보안 조치가 필요합니다.

이 글의 출처에는 다음 기사가 포함되어 있습니다. 해커 뉴스 와 SecurityWeek.

요약

기사 이름

캑터스 Qlik 랜섬웨어: 악용된 취약점

설명

캑터스 Qlik 랜섬웨어에 대해 자세히 알아보고 진화하는 사이버 위협을 최신 상태로 유지하여 네트워크와 인프라를 안전하게 보호하세요.

작성자

와자핫 라자

게시자 이름

TuxCare

게시자 로고