CVE-2022-1040 감지: DriftingCloud APT 그룹이 Sophos Firewall의 RCE 취약점을 악용하다

“DriftingCloud”라는 별칭으로 알려진 악명 높은 중국 APT 그룹이 사이버 보안 회사인 Sophos를 타겟으로 삼고 있습니다. 즉, 이 위협 행동자는 Sophos 방화벽의 보안 결점을 적극적으로 악용한 것으로 믿어집니다. CVE-2022-1040로 추적되는 이 결함은 심각도가 9.8점으로 평가되었으며 2022년 초봄부터 Sophos 방화벽 버전 18.5 MR3 및 이전 버전에 영향을 미쳤습니다. 올해 3월에 패치되었음에도 불구하고 이 취약성은 여전히 Sophos 방화벽 사용자를 RCE 공격에 노출시키고 있습니다.

이 버그는 Sophos 방화벽의 사용자 포털 및 Webadmin에 영향을 미치며 원격 코드 실행을 초래할 수 있는 인증 우회입니다.

적대자는 주로 남아시아에 위치한 비즈니스를 타겟으로 하기 위해 이 취약점을 무기로 삼습니다.

CVE-2022-1040 탐지

심각한 Sophos 방화벽 RCE 취약점의 악용 시도를 감지하기 위해, SOC Prime의 열정적인 위협 헌팅 엔지니어 팀이 발표한 다음 시그마 규칙을 사용하세요.

사이버 보안 전문가들은 위협 보상 프로그램 에 참여하여 산업 선도 플랫폼에서 반복적인 금전적 보상을 받기 위해 그들의 SOC 콘텐츠를 공유할 수 있습니다. 제출된 모든 탐지는 SOC Prime 전문가에 의해 검토되고 검증됩니다. 지난 달 프로그램 회원에게 지급된 평균 보상은 $1,429였습니다.

웹 서버를 통한 가능성 있는 DriftingCloud 위협 그룹 사후 악용 활동

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, Exploit Public-Facing Application (T1190) 기법으로 초기 액세스 전술을 다루고 있습니다. 보안 실무자는 16개 이상의 보안 솔루션에 적용할 수 있는 규칙 소스 코드를 얻기 위해 여러 SIEM, EDR, XDR 형식 간 쉽게 전환할 수 있습니다.

등록된 사용자는 탐지 및 헌팅 버튼을 눌러 CVE-2022-1040 악용 탐지를 위한 관련 시그마 규칙에 접근할 수 있습니다. 위협 컨텍스트 탐색 버튼을 클릭하면, 등록되지 않은 보안 전문가들도 관련 전체 컨텍스트와 함께 SOC 콘텐츠의 포괄적인 라이브러리에 접근할 수 있습니다.

탐지 및 헌팅 위협 컨텍스트 탐색

CVE-2022-1040 취약성 분석

연구원 Volexity 는 CVE-2022-1040을 악용하는 공격에 관한 기술 세부 정보를 공개했습니다. 연구 보고서에 따르면, 은밀한 악용은 타겟의 공개 웹사이트를 호스팅하는 클라우드 기반 웹 서버를 더욱 침해하기 위한 것입니다.

초기 액세스 후, 적대자는 웹쉘 백도어를 설치하고 2차 형태의 지속적으로 유지합니다. 연구원들은 적대자가 방화벽을 침입하여 중간자 공격(MITM)을 시작한다고 밝혔습니다. MITM 공격에서 수집된 정보는 공격 표면을 확장하여 초기 목표를 넘어 시스템을 침해하는 데 사용됩니다.

이 취약성은 해결된 것으로 간주되며, 현재 CVE-2022-1040 완화를 위해 사용자 측에서 어떠한 조치도 필요하지 않습니다. 공급업체는 핫픽스 기능의 자동 설치가 활성화된 모든 고객이 CVE-2022-1040 결함과 관련된 보안 문제에 직면하지 않을 것이라고 보장했습니다.

확인해보세요 SOC Prime 라이브러리 – SIEM 고급 스킬을 마스터하고 전문적인 수평을 확장하기 위한 심층 교육 비디오와 위협 헌팅에 대한 실용적인 가이드를 제공하는 일원화 솔루션입니다.