기술 지원
문서
로그인
문의하기
미군 계약업체의 엔터프라이즈 네트워크가 손상되어 데이터가 도난당했습니다.
2022년 10월 19일 TuxCare 홍보팀
미국 사이버보안 및 인프라 보안국(CISA), FBI, NSA는 미국 군 계약업체의 네트워크에 침입하여 민감한 데이터를 훔친 사건에 대한 공동 보고서를 발표했습니다.
해커가 국방 기관의 Microsoft Exchange Server에 어떻게 침입했는지는 아직 알려지지 않았습니다. 경고에 따르면 위협 행위자는 몇 시간 동안 사서함을 검색하고 손상된 관리자 계정을 사용하여 EWS API를 통해 Exchange를 쿼리했다고 합니다.
해커가 군사 계약업체의 네트워크에서 수행한 다른 악의적인 활동으로는 Windows 명령을 실행하여 IT 설정에 대해 자세히 알아보고 WinRAR을 사용하여 아카이브에 있는 다른 파일을 수집하는 것, Impacket 오픈 소스 네트워크 툴킷을 사용하여 네트워크에서 기계를 원격으로 제어하고 이동시키는 것 등이 있습니다.
그런 다음 공격자는 공유 드라이브에서 계약 관련 정보를 포함한 민감한 데이터를 빼내기 위해 CovalentStealer라는 맞춤형 데이터 유출 도구를 사용했습니다.
공격자의 활동은 누군가 뭔가 잘못되었다는 것을 깨달은 후에야 발견되었습니다. CISA와 '신뢰할 수 있는 제3자' 보안 회사가 수행한 조사에서 관계자들은 악성 네트워크 활동을 조사한 결과, 2021년 1월 중순에 익명의 일부 승무원이 조직의 Exchange 서버에 처음 액세스한 사실을 발견했습니다.
연구원들의 조사 결과에 따르면 공격자들은 2021년에 CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 등 여러 Microsoft 버그를 악용하여 17개의 차이나 초퍼 웹셸을 Exchange 서버에 설치한 것으로 나타났습니다.
관찰된 위협 활동 중 일부에서 공격자는 합법적이고 악의적인 목적으로 사용될 수 있는 Impacket을 사용합니다. 레드 카나리아의 인텔리전스 책임자 케이티 니켈스에 따르면, 공격자들은 네트워크에 접속하자마자 임패킷의 wmiexec.py 및 smbexec.py 파이썬 스크립트를 실행하여 피해자의 네트워크에 있는 컴퓨터를 원격으로 제어합니다.
"공격자들은 임패킷을 통해 자격 증명 검색, 명령 실행, 측면 이동, 시스템에 추가 멀웨어 전달 등 다양한 작업을 수행할 수 있기 때문에 임패킷을 선호합니다."라고 Nickels는 말합니다.
이 글의 출처는 TheRegister의 기사입니다.
