2024-03-29 06:55 (금)
내부 이메일 체인 가로채기 위해 익스체인지 서버 손상시키는 사이버공격 발견돼
상태바
내부 이메일 체인 가로채기 위해 익스체인지 서버 손상시키는 사이버공격 발견돼
  • hsk 기자
  • 승인 2021.11.25 17:52
이 기사를 공유합니다

마이크로소프트 익스체인지 서버를 타깃으로 한 멀웨어 캠페인이 발견됐다. 이 캠페인은 ProxyShell 및 ProxyLogon 이슈를 악용하고, 내부 회신 체인 이메일을 활용해 탐지를 피하는 것으로 알려졌다.

시큐리티어페어스 보도에 따르면, 트렌드마이크로 연구원이 공격자가 사용자를 속여 악성 이메일을 열도록 하고 공격 벡터로 사용하는 기술에 대한 상세 내용을 공개했다. 해당 공격은 기존 이메일 체인에 대한 회신으로 악성 스팸을 보내는 것으로 알려진 Squirrelwaffle에 의해 수행된 것으로 보인다고 전했다.

3건의 사고 조사에서 공격자는 CVE-2021-26855 (ProxyLogon), CVE-2021-34473, 그리고 CVE-2021-34523 (ProxyShell) 익스플로잇을 사용한 것으로 나타났다.

익스체인지 서버가 손상되면 위협 행위자는 액세스 권한을 사용해 무기화된 문서 링크가 포함된 회신 체인 공격에서 사내 메일로 회신한다. 조직 내에서 메시지를 보내면 공격자는 탐지를 우회할 수 있다.

이메일은 동일한 내부 네트워크에서 시작되었고, 두 직원간의 이전 논의와 연결된 것으로 보인다. 공격자는 탐지를 피하기 위해 측면 이동을 위한 툴을 사용하거나 익스체인지 서버에서 멀웨어를 실행하지 않았다.

이메일은 무기화된 오피스 문서를 사용하거나 해당 문서에 대한 링크를 포함한다. 콘텐츠를 활성화하면 Qbot, Cobalt Strike, SquirrelWaffle과 같은 멀웨어를 다운로드하고 설치하기 위한 악성 매크로가 실행된다.

이 캠페인에 사용된 엑셀 시트에는 악성 DLL을 다운로드해 실행하는데 사용되는 악성 엑셀 4.0 매크로가 포함되어 있었다.

전문가들은 마이크로소프트에서 게시한 보안 업데이트를 설치해 익스체인지 서버를 보호할 것을 권장했다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★