마이크로소프트(MS)가 국가 배후 공격자들과 사이버 범죄자들이 취약한 시스템에 멀웨어를 유포하기 위해 아파치 Log4j 라이브러리에서 최근 발견된 심각한 취약점을 지속적으로 악용하고 있다고 경고했다.

시큐리티어페어스 보도에 따르면, 마이크로소프트는 고객이 취약한 설치를 검색하는 인프라에 대한 검토를 권고했다. 조직에서 이미 손상된 사실을 깨닫지 못하고 있을 수 있다고 전했다.

MS 위협 인텔리젼스 센터는 “12월 마지막 주에 악용 및 테스트 시도가 높게 나타났다. 우리는 많은 기존 공격자가 코인 채굴기부터 키보드를 이용한 실제 공격에 이르기까지 기존 멀웨어 키트 및 전술에 이러한 취약점의 익스플로잇을 추가하고 있다는 것을 관찰했다”고 말한다.

첫번째 취약점이 공개된 직후 마이크로소프트는 Log4j의 Log4Shell 취약점을 악용하려는 국가 행위자에 대해 경고했다. 계속해서 다른 결함(CVE-2021-45046, CVE-2021-45105, CVE-2021-4104, CVE-2021-44832)이 라이브러리에서 발견되었고, 현실에서 위협 행위자들에 의해 악용되었다.

연구원들이 관찰한 대부분의 공격은 대량 스캔, 코인 채굴, 원격 셸 설정, 레드팀 활동 등이다. 일반적인 공격 패턴은 다음과 같은 문자열이 포함된 웹 요청 로그에 나타난다.

위 스트링은 “jndi”, “ldap”, “ldaps”, “rmi”, “dns”, “iiop”, 또는 “http.”를 통해 구성 요소를 분석하여 쉽게 식별 가능하다. 그러나 공격자들은 이러한 요청에 난독화를 추가해 요청 분석을 통한 탐지를 우회한다.

또한 대량 스캔 시도가 중단될 기미가 보이지 않고, 공격자가 제어하는 사이트에 요청을 수행하기 위한 JNDI를 활용해 Log4j를 사용하여 웹 요청 로그를 생성하도록 조작된 악성 HTTP 요청을 난독화 하여, 문자열 매칭 탐지를 우회하려는 시도가 진행 중이다.

MS는 미라이(Mirai)나 쓰나미(Tsunami) 등 봇넷에 이 결함이 빠르게 적용될 것이라고 경고했고, 페이로드를 삭제하지 않고 취약점을 통해 데이터 유출을 수행하는 악성 활동을 지속적으로 관찰했다고 전했다.

마이크로소프트는 미라이 등 기존 봇넷이 취약점을 빠르게 도입하여 취약한 Elasticsearch 시스템을 타깃으로 암호화폐 채굴기를 유포하는 기존 캠페인과 리눅스 시스템에 Tsunami 백도어를 유포하고 있음을 발견했다.

또 이러한 캠페인 중 다수는 리눅스에서 bash 명령을 실행하고 윈도우에서 PowerShell을 실행하기 위해 JDNI:ldap:// 요청에 포함된 Base64 명령을 사용하여 윈도우 및 리눅스 시스템에 대한 동시 검색 및 악용 활동을 실행하고 있다.

더불어 페이로드를 드롭하지 않고도 취약점을 통해 데이터 유출을 수행하는 악성 공격 또한 지속적으로 관찰된다. 해당 공격 시나리오는 공격자가 기밀 및 데이터를 유출이 가능한 SSL 종료 기능이 있는 네트워크 장치에 특히 영향을 미칠 수 있다고 경고했다.

전문가들은 또한 사람이 조작하는 공격에서 CVE-2021-44228을 악용해 추가 RAT 및 리버스 셸을 삭제했다고 보고했다. 연구원들은 Meterpreter, njRAT(Bladabindi), HabitsRAT와 함께 Cobalt Strike 및 PowerShell 리버스 셸이 악용된 것을 관찰했다. Webtoos DDoS 악성코드 또한 Log4Shell 취약점을 통해 배포되었음을 확인했다.

★정보보안 대표 미디어 데일리시큐!★