CISA는 위협 행위자가 VMware 서버의 패치되지 않은 Log4Shell 취약점에 대한 공격을 강화하고 있다고 경고합니다.
사이버 보안 및 기반 시설 보안국(CISA)과 해안경비대 사이버사령부(CGCYBER)가 발표한 공동 자문 경고 Log4Shell 결함은 공개 VMware Horizon 및 UAG(Unified Access Gateway) 서버를 손상시키는 위협 행위자에 의해 악용되고 있습니다.
VMware Horizon은 관리자가 하이브리드 클라우드에서 가상 데스크톱 및 앱을 실행하고 제공하는 데 사용하는 플랫폼이며 UAG는 네트워크 내부에 있는 리소스에 대한 보안 액세스를 제공합니다.
CISA에 따르면 APT(Advanced Persistent Threat) 행위자가 피해자의 내부 네트워크를 손상시키고 재해 복구 네트워크를 확보하고 민감한 정보를 추출하는 경우가 있습니다. CISA는 "이 악용의 일환으로 APT로 의심되는 공격자가 원격 명령 및 제어(C2)를 가능하게 하는 실행 파일이 포함된 손상된 시스템에 로더 악성코드를 삽입했다"고 덧붙였다.
Log4Shell Apache에서 "Log4j"로 알려진 로깅 라이브러리에 영향을 미치는 원격 코드 실행(RCE) 취약점입니다. 라이브러리는 다양한 조직, 기업, 응용 프로그램 및 서비스에서 널리 사용됩니다.
공격 분석
CGCYBER는 VMware Horizon에서 Log4Shell을 악용한 위협 행위자에 의해 손상된 조직에서 사전 예방적 위협 사냥을 수행합니다. 이를 통해 공격자는 피해자 시스템에 대한 초기 액세스 권한을 얻은 후 "hmsvc.exe"로 식별되는 멀웨어를 업로드한 것으로 나타났습니다.
연구원들은 hmsvc.exe 악성코드 샘플을 분석한 결과 합법적인 윈도우 서비스와 SysInternals LogonSessions 소프트웨어의 변형된 버전으로 가장한 프로세스를 확인했습니다.
연구원 샘플에 따르면 hmsvc.exe 멀웨어는 Windows 시스템에서 가장 높은 권한 수준으로 실행되었으며 위협 행위자가 키 입력을 기록하고 페이로드를 업로드 및 실행할 수 있도록 하는 실행 파일이 포함되어 있습니다.
"맬웨어는 C2 터널링 프록시로 기능할 수 있어 원격 운영자가 다른 시스템으로 피벗하고 네트워크로 더 이동할 수 있습니다." 멀웨어의 초기 실행은 매시간 실행되도록 설정된 예약된 작업을 생성했습니다.
또 다른 현장 사고 대응 업무의 CISA에 따르면 피해자와 의심되는 APT IP 주소 사이의 양방향 트래픽을 관찰했습니다.
공격자는 처음에 패치되지 않은 VMware Horizon 서버에서 Log4Shell을 악용하여 피해자의 프로덕션 환경(사용자 준비 소프트웨어 또는 업데이트가 배포된 컴퓨터 세트)에 액세스합니다. 나중에 CISA는 공격자가 Powershell 스크립트를 사용하여 측면 이동을 수행하고, 시스템을 원격으로 모니터링하고, 역 쉘을 획득하고, 민감한 정보를 빼낼 수 있는 로더 악성코드를 검색 및 실행하는 것을 관찰했습니다.
추가 분석에 따르면 조직 테스트 및 프로덕션 환경에 대한 액세스 권한이 있는 공격자는 CVE-2022-22954, VMware Workspace ONE 액세스 및 ID 관리자의 RCE 결함. Dingo J-spy 웹 쉘을 이식하기 위해,
사고 대응 및 완화
CISA 및 CGCYBER는 관리자가 손상된 시스템을 발견한 경우 취해야 하는 여러 조치를 권장했습니다.
- 손상된 시스템 격리
- 관련 로그, 데이터 및 아티팩트를 분석합니다.
- 모든 소프트웨어는 에서 업데이트 및 패치되어야 합니다.
- 불필요한 공개 호스팅 서비스를 줄여 공격 표면을 제한하고 DMZ, 엄격한 네트워크 액세스 제어 및 WAF를 구현하여 공격으로부터 보호합니다.
- 조직은 MFA(다단계 인증)를 도입하고 강력한 암호를 적용하고 사용자 액세스를 제한하여 ID 및 액세스 관리(IAM)에 대한 모범 사례를 구현하는 것이 좋습니다.
