기술 지원
문서
로그인
문의하기
라자루스, 의료 및 에너지 산업에 대한 공격 개시
2023년 2월 15일 TuxCare 홍보팀
위드시큐어 연구에 따르면 라자루스 그룹의 사이버 공격은 패치되지 않은 짐브라 디바이스에서 발견된 알려진 취약점을 악용하여 의료 연구 및 에너지 산업과 해당 공급망 파트너를 표적으로 삼고 있습니다.
"파인애플 없음"이라고 불리는 이 공격은 백도어에 "데이터가 세그먼트화된 바이트 크기를 초과하는 경우"라는 이름이 추가된 오류 메시지를 남깁니다. 보고서에 따르면 이 공격의 목표는 피해 조직으로부터 정보를 수집하는 것입니다. 이 그룹은 이러한 디바이스의 알려진 취약점을 악용하여 네트워크를 손상시키고 권한을 상승시켜 데이터 유출로 이어지게 합니다.
피해자 중에는 에너지, 연구, 국방 및 의료 분야에 사용되는 기술 제조업체, 유수 연구 대학의 화학 공학부 및 기타 다양한 분야의 사람들이 포함되어 있습니다.
이 공격은 심각도 9.8 등급으로 분류되어 2022년 9월 중순부터 야생에서 활발히 악용되고 있는 CVE-2022-41352로 표시된 중대한 원격 코드 취약점 때문입니다. Zimbra는 pax 유틸리티를 설치하고 Zimbra 서비스를 다시 시작하라는 권장 해결 방법을 발표했지만, 위드시큐어 보고서에 따르면 이 결함은 실제로 라자루스 그룹에 의해 악용된 것으로 나타났습니다.
이 취약점은 디바이스가 cpio 유틸리티를 사용하는 안티바이러스 엔진을 사용하여 인바운드 이메일을 검사하고 공격자가 아카이브를 생성하여 Zimbra 디바이스 내의 모든 파일에 액세스할 수 있기 때문에 발생합니다. 라자루스 그룹은 합법적인 윈도우 및 유닉스 도구 외에도 쉽게 구할 수 있는 웹셸과 커스텀 바이너리를 사용하여 공격을 수행합니다.
이 공격은 8월에 짐브라 메일 서버를 대상으로 전개되었으며, 공격자들은 로컬 권한 상승 취약점을 악용했습니다. 공격자들은 한 달 동안의 정찰과 측면 이동 끝에 약 100GB의 데이터를 유출했습니다. 이 보고서에는 식별 및 해결을 지원하기 위해 관찰된 캠페인 동안 배포된 전술과 방법의 목록이 포함되어 있습니다.
이 글의 출처는 SCMagazine의 기사입니다.
