컨플루언스 서버에서 취약점이 나왔다는 소식이 보안 업계에 들린 지 1/2개월 정도가 지났다. 패치도 이미 나왔다. 하지만 공격자들의 기세는 전혀 꺾이지 않고 있다. 랜섬웨어 공격자들이 참전한 흔적까지도 발견되는 중이다.
[보안뉴스 문가용 기자] 최근 아틀라시안(Atlassian)의 컨플루언스 서버(Confluence Server)에서 원격 코드 실행 취약점이 발견된 적이 있었다. 초고위험도로 분석됐던 그 취약점이 현재 활발한 익스플로잇 공격에 시달리고 있다고 하며, 다양한 멀웨어가 유포되는 중이라고 한다. 이 중에는 랜섬웨어도 섞여 있다는 소식이다.
![[보안뉴스 / 6.20.] 컨플루언스 서버에서 발견된 제로데이 취약점, 패치 나왔지만 공격 여전히 활발](http://www.boannews.com/media/upFiles2/2022/06/945473632_1324.jpg)
[이미지 = utoimage]
보안 업체 소포스(Sophos)에 의하면 지난 2주 동안 윈도 및 리눅스 기반 컨플루언스 인스턴스의 취약점을 자동으로 익스플로잇 하려는 움직임이 대거 발생했다고 한다. 이 중 케르베르(Cerber)라는 랜섬웨어를 피해자의 네트워크에 퍼트리려는 시도가 최소 두 건 발견되기도 했다. 문제의 취약점은 CVE-2022-26134로, 보안 업체 볼렉시티(Volexity)가 처음 발견해 아틀라시안 측에 알렸다.
CVE-2022-26134는 컨플루언스 서버와 컨플루언스 데이터센터(Confluence Data Center) 모든 버전에 존재하며, 익스플로잇에 성공한 공격자들이 원격에서 웹셸을 심게 해 준다. 공격자들은 후에 이 웹셸을 통하여 다른 멀웨어를 심을 수도 있고, 백도어로서 지속적으로 활용할 수도 있다. 즉 컨플루언스 환경에 저장된 각종 데이터에 쉽사리 접근할 수 있게 된다는 뜻이다. 발견 당시에는 패치가 없었으나 6월 3일부터는 공식 패치가 배포되기 시작했다.
계속되는 컨플루언스 공격
소포스에 의하면 패치가 나온 이후 취약한 컨플루언스 서버 인스턴스의 수는 크게 줄었다고 한다. 그러나 공격의 기세가 꺾인 것은 아니었다. 공격자들 입장에서는 패치가 적용된다고 하더라도 여전히 공격할 대상이 많았으며, 그렇기 때문에 사용자의 패치 적용은 더더욱 중요한 방어 장치가 될 수밖에 없었다. 게다가 공격자들은 대부분 파일레스 형태의 웹셸을 퍼트려 두고 있기 때문에 패치가 된다고 하더라도 한 번 감염시킨 시스템을 꾸준히 공략할 수 있었다. 패치가 진행되고 있으니 공격을 더 거세게 할 수밖에 없었다.
소포스는 이 웹셸을 통해 여러 가지 멀웨어가 퍼지는 걸 목격했다고 한다. 미라이(Mirai), 제로마이너(z0miner), 폰킷(pwnkit), 각종 룻키트 등이 여기에 포함된다. 또한 ASP와 PHP를 기반으로 한 웹셸들이 퍼지는 것도 발견했다고 한다. 하지만 가장 눈에 많이 띄는 건 파워셸 명령들을 사용해 윈도 서버들에 코발트 스트라이크와 같은 해킹 도구를 심는 행위였다. 위에서 언급한 케르베르 감염 시도 역시 파워셸을 기반으로 이뤄졌었다. 소포스는 케르베르 랜섬웨어가 사용되었다는 건 이미 피해자 시스템에서 정보가 새나갔다는 뜻으로 봐야 한다고 경고하기도 했다. 하지만 직접적인 증거가 발견된 것은 아니다.
이중협박 전략
소포스가 케르베르 랜섬웨어 공격자들이 피해자의 데이터를 가져갔을 가능성이 높다고 하는 건 랜섬웨어 공격자들 사이에서 이중협박 전략이 유행하기 때문이다. 케르베르 운영자들 역시 즐겨 사용하는 전략이다. 피해자의 데이터를 암호화 하기 전에 미리 빼돌려 추가 공격을 꾀하는 것이 이중협박의 핵심이다. 빼돌린 데이터는 1차 협박이 통하지 않았을 때 2차 협박의 도구로 삼거나, 다크웹 암시장에서 판매하는 등 추가 수익을 내는 데 활용이 가능하다.
보안 업체 라피드7(Rapid7)이 최근 조사한 바에 따르면 위협 행위자들이 피해자들을 협박할 때 가장 많이 사용하는 것이 기업의 금융 데이터(63%)이고 그 다음이 고객 데이터(48%)인 것으로 나타났다. 즉 내부에서만 보관되는 데이터는 협박용으로 사용할 가치가 매우 높다는 것이다.
공격자들은 피해자가 어떤 조직이냐에 따라 다른 데이터를 쥐고 협박하기도 했다. 금융 서비스 업체들의 경우 공격자들은 고객 데이터를 제일 먼저 유출했고(83%), 그 다음은 내부 금융 정보에 손을 대기 시작했다. 하지만 의료 산업의 경우, 피해자의 금융 정보를 제일 먼저 유출하는 경향(71%)이 있었다.
하지만 랜섬웨어 운영자에 따라 협박용으로 선호하는 데이터가 달라지기도 했다.콘티(Conti)의 경우 81% 확률로 금융 정보를 제일 먼저 유출하며, 클롭(Cl0p)은 내부 직원들의 개인정보를 70% 확률로 먼저 유출한 것으로 분석됐다. 문제는 이 모든 민감 정보들이 컨플루언스 서버와 데이터베이스에 저장되는 경우가 많다는 것이다.
3줄 요약
1. 6월 3일 패치 나온 컨플루언스 제품/서비스의 제로데이 취약점, 여전히 공격에 노출됨.
2. 취약한 컨플루언스 서버 인스턴스들 줄어들고 있긴 하지만 아직 충분치 않음.
3. 랜섬웨어 공격자들의 익스플로잇 흔적도 발견된 만큼 정보 유출도 같이 걱정해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 6.20.] 컨플루언스 서버에서 발견된 제로데이 취약점, 패치 나왔지만 공격 여전히 활발](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
