Cl0p 랜섬웨어 그룹, MOVEit 전송 SQL 인젝션 결함 악용
미국 사이버 보안 및 인프라 보안국(CISA)과 연방 수사국(FBI)은 협업을 통해 악명 높은 Cl0p 랜섬웨어 그룹(TA505라고도 함)이 Progress Software의 MOVEit Transfer 애플리케이션의 중요한 취약점을 지속적으로 악용하고 있다는 공동 권고문을 발표했습니다. 이 사이버 범죄 그룹은 Progress Software의 관리형 파일 전송(MFT) 솔루션인 MOVEit Transfer에 존재하는 SQL 인젝션 결함을 악의적인 공격에 활용했습니다.
이 권고문은 Cl0p 랜섬웨어 갱단이 Progress Software의 MOVEit Transfer 애플리케이션 내의 심각한 취약점을 활용하여 인터넷에 연결된 웹 애플리케이션을 표적으로 삼는 SQL 인젝션 결함을 악용하는 것에 대한 통찰력을 제공합니다. 사이버 보안 커뮤니티에 경종을 울린 이 조직은 2023년 6월 14일까지 표적이 된 기업들이 자신들의 요구에 응하지 않으면 탈취한 데이터를 공개적으로 공개하겠다고 위협했습니다.
Microsoft는 코드명 레이스 템페스트(일명 Storm-0950)로 활동하는 Cl0p 랜섬웨어 그룹의 사이버 활동을 적극적으로 모니터링하고 있습니다. 이 그룹이 PaperCut 서버의 중요한 보안 취약점을 악용한 것으로 확인되었습니다. 이 범죄 조직은 2019년 2월부터 4년 넘게 서비스형 랜섬웨어 캠페인을 실행하고 초기 액세스 브로커 역할을 하는 등 불법적인 활동을 벌여왔습니다. 이들의 수법에는 MOVEit Transfer에서 발견된 SQL 인젝션 결함인 CVE-2023-34362와 같은 취약점을 악용하여 인터넷에 연결된 애플리케이션을 제어하고 랜섬웨어 공격을 수행하는 것이 포함됩니다. 이 취약점을 악용하면 원격 코드를 실행할 수 있게 되어 잠재적으로 랜섬웨어 또는 기타 파괴적인 페이로드가 배포될 수 있습니다.
Kroll의 분석에 따르면, Cl0p 위협 공격자들은 2022년 4월부터 특정 취약점을 실험해 왔으며, 2021년 7월까지 예비 테스트가 탐지된 것으로 밝혀졌습니다. Censys의 관찰에 따르면 노출된 MOVEit Transfer 인스턴스 수가 3,000개 이상의 호스트에서 2,600개 이상으로 감소한 것으로 나타났습니다.
케빈 보몬트는 Cl0p 랜섬웨어 그룹이 3년 동안 세 번째로 웹 애플리케이션의 제로데이 취약점을 악용하고 있다고 지적하며 현 상황에 대해 설명했습니다. 특히 보안 기능을 눈에 띄게 강조하는 제품을 표적으로 삼는 데 초점을 맞추고 있으며, 이는 이러한 위협 행위자들이 사용하는 전술이 진화하고 있음을 더욱 강조합니다.
이 글의 출처는 TheHackerNews의 기사입니다.