CVE-2021-22941: Citrix ShareFile 원격 코드 실행 취약점 PROPHET SPIDER에 의해 악용됨

악명 높은 초기 액세스 브로커 PROPHET SPIDER가 CVE-2021-22941 취약점을 악용하여 Microsoft Internet Information Services (IIS) 웹 서버에 무단으로 액세스하는 것이 발견되었습니다. 사이버 범죄자들은 조직의 보안 시스템을 침해하여 민감한 데이터를 차단한 후 랜섬웨어 그룹에 그 접근을 판매하려고 합니다.

위의 경로 탐색 취약점을 악용하면 적들이 웹쉘을 전달하여추가 페이로드를 다운로드할 수 있습니다. PROPHET SPIDER는 또한 유명한 Log4j 취약점. 

SOC Prime Threat Bounty 개발자가 만든 최신 탐지를 탐색하고 PROPHET SPIDER의 활동을 귀하의 네트워크에 접근하기 전에 조기에 감지하세요.

CVE-2021-22941 탐지

귀하의 시스템에 대한 PROPHET SPIDER 공격 가능성을 탐지하기 위해 아래의 탐지 규칙 목록을 확인하십시오. 우리의 콘텐츠는 Citrix ShareFile과 Log4j가 VMware에서의 취약점 악용을 모두 다룹니다.

PROPHET SPIDER와 관련된 악의적 활동을 완화하기 위해, 악명 높은 위협 행위자가 악용하는 초기 액세스 격차를 피하는 것이 중요합니다. 우리는 RCE 취약점(CVE-2021-22941)뿐만 아니라 CVE-2021-44228, CVE-2021-45046, CVE-2021-44832로 표시된 VMware Horizon에서의 Log4j 취약점도 감지하고 해결할 것을 권장합니다.

웹쉘 전달을 위해 CVE-2021-22941의 악용으로 인한 의심스러운 PROPHET SPIDER 초기 액세스(웹 서버 경유)

PROPHET SPIDER가 Citrix ShareFile RCE 취약점을 악용함(사후 악용)

VMware Horizon(예약된 작업 생성 경유)에서의 Log4j(CVE-2021-44228) 취약점 악용

(cmdline 경유) VMware Horizon에서 Log4j(CVE-2021-44228) 취약점을 악용하는 Prophet Spider

VMware Horizon(예약된 작업 생성 경유)에서의 Log4j(CVE-2021-44228) 취약점 악용

규칙은 우리 Threat Bounty 개발자들이 제공합니다 Emir Erdogan, Aytek Aytemur, 그리고 Nattatorn Chuensangarun.

사이버 보안 전문가들은 Threat Bounty 프로그램에 참여하여 커뮤니티의 힘을 활용하고 그들의 위협 탐지 콘텐츠에 대한 보상을 받는 것을 환영합니다.

탐지 보기 Threat Bounty 참여

CVE-2021-22941 악용 세부 사항

적들에 의해 배포된 웹쉘은 알려진 웹 서버 취약점을 사용하여 랜섬웨어 도구를 다운로드합니다. 2차 페이로드의 자세한 사양은 다를 수 있으며, 공격자들은 그들의 동기에 따라 어떤 것을 사용할지 선택할 수 있습니다. 가장 자주 관찰된 페이로드에는 강탈, 랜섬웨어 및 암호화 채굴이 포함됩니다.

PROPHET SPIDER 위협 행위자 는 최소 2017년 5월부터 활동해 왔습니다. 그들은 알려진 웹 서버 취약점을 악용하여 피해자의 시스템에 접근해 왔습니다. 최신 활동은 예외적으로 다양한 2차 페이로드를 사용하는 것 외에는 다르지 않아 보입니다.

PROPHET SPIDER에 의해 자주 악용되는 최신 알려진 취약점에는 다음이 포함됩니다:

• CVE-2021-22941 — 가 Microsoft IIS 웹 서버에 액세스하기 위해 Citrix ShareFile 저장 구역 컨트롤러에 영향을 미칩니다
• CVE-2021-44228, CVE-2021-45046, 및 CVE-2021-44832 — 는 VMware Horizon에서 알려진 Log4j 취약점에 영향을 미칩니다

타겟 서버에 접근하면 공격자들은 HTTP GET 요청에서 전달된 업로드된 매개변수의 도움으로 기존 파일을 덮어씁니다. 그런 다음, 그들은 조직의 데이터를 차단하여 다른 랜섬웨어 행위자에게 재판매합니다.

이 악용에서 추적할 수 있는 MITRE ATT&CK 기술 및 하위 기술은 다음과 같습니다:

• 초기 액세스 (T1190) 
• 실행 (T1059.001) 
• 지속성 (T1505.003) 
• 명령 및 제어 (T1071) 
• 도구 전송 (T1105)

SOC Prime의 크라우드 소싱 기여자들이 만든 탐지 콘텐츠에는 이러한 TTP에 매핑된 행동 기반 탐지가 포함됩니다.

일상적인 SOC 운영을 우리의 글로벌 경험 있는 위협 탐지 전문가 커뮤니티의 힘으로 강화하여 SOC Prime의 Detection as Code 플랫폼에 지속적으로 기여합니다. 현대의 APT는 그들의 네트워크를 계속 확장하고 있으며, 조직이 고립된 환경 내에서 있는 경우 성장하는 사이버 위협을 다루는 것은 거의 불가할 것입니다. 사이버 공격을 최대한 빨리 탐지하고 최신 정보를 유지하기 위해 우리의 플랫폼에 합류하십시오.