이란 해커, 로그4셸 익스플로잇으로 미 연방민간행정기관 공격
상태바
이란 해커, 로그4셸 익스플로잇으로 미 연방민간행정기관 공격
  • 곽중희 기자
  • 승인 2022.11.18 09:45
  • 댓글 0
이 기사를 공유합니다

이란 해커가 로그4셸(Log4Shell) 익스플로잇으로 미국 연방민간행정기관(FCEB, Federal Civilian Executive Branch)을 공격하고 있다.

FBI와 CISA가 발표한 공동 권고에 따르면, 이란 해커 집단이 로그4셸 취약점(CVE-2021-44228)을 악용해 FCEB의 시스템을 공격하고 크립토마이닝 악성코드를 배포했다.

로그4셸은 Log4j를 사용하는 여러 기업에 영향을 주며 한때 VM웨어를 공격하기도 했다. 당시 중국 해커는 원격 코드 실행을 위해 패치되지 않은 VM웨어 호리즌 서버를 해킹했었다.

CISA가 발표한 멀웨어 분석 보고서(AR22-320A)에 따르면, CISA는 이번 공격을 분석하는 중 4개의 악성 파일을 확보했다.

조사 결과, 파일은 XMRIG 가상자산 채굴 소프트웨어의 변종으로 확인됐다. 파일에는 커널 드라이버, 두 개의 윈도우 실행 파일, 네트워크와 감염된 호스트에서 실행 파일의 동작 중 하나를 제어하는 구성 파일이 포함된다.

CISA는 2022년 6월 중순부터 7월 중순까지 영향을 받는 FCEB 조직에서 사고 대응 작업을 수행했다.

전문가들은 해커가 XMRig 암호화 채굴기를 설치한 후 도메인 컨트롤러(DC)에 접근하기 위해 자격 증명을 손상시킨 후 손상된 네트워크 내에서 여러 호스트에 Ngrok 역방향 프록시를 이식했음을 발견했다.

CISA와 FBI는 이번 공격을 탐지하고 막을 수 있도록 해커의 TTP(전술, 기술 및 절차) 및 침해 지표(IOC)를 제공하는 CSA(Cybersecurity Advisory)를 발표했다.

CISA와 FBI는 취약한 VM웨어 서버를 사용하는 모든 기업이 침해를 예방을 위해 CSA가 발표한 조치를 따라야 한다고 강조했다.

CSA는 DC를 포함해 공격받을 수 있는 모든 시스템을 조사해 계정을 검사하라고 권고했다. 
 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.