CVE-2023-47246 탐지: 레이스 템페스트 해커, SysAid IT 소프트웨어의 제로데이 취약점 적극 활용

이번 11월에 인기 있는 소프트웨어 제품의 새로운 제로데이가 사이버 영역에서 나타나고 있습니다. CVE-2023-22518 모든 버전의 Confluence Data Center와 Server에 영향을 미칩니다. 공개 직후, SysAid IT 소프트웨어의 또 다른 제로데이 결함이 CVE-2023-47246에 따라 추적되어 등장했습니다. Microsoft는 이전에 Clop 랜섬웨어 전달로 유명했던 Lace Tempest 그룹의 공격흔적을 발견했습니다.

CVE-2023-47246 악용 시도 탐지

Clop 랜섬웨어 운영자가 새로운 제로데이 SysAid IT 취약점을 적극적으로 악용하면서, 진보적인 조직들은 인프라를 사전에 방어하려고 노력하고 있습니다. SOC Prime Platform은 아래 링크를 통해 CVE-2023-47246 악용 시도를 탐지할 수 있는 새로운 큐레이션된 Sigma 규칙을 수비자들에게 제공합니다.

SysAid Tomcat 폴더에 WAR 아카이브 파일 생성됨 [CVE-2023-47246] (via file_event)

탐지 알고리즘은 SysAid Tomcat 디렉토리에 생성된 WAR 아카이브를 식별하여 CVE-2023-47246 취약점 악용의 지표일 수 있습니다. 이 Sigma 규칙은 MITRE ATT&CK 초기 접근 전략 및 주 공법으로서 Exploit Public-Facing Application을 다룹니다 (T1190). 탐지 코드는 수십 개의 SIEM, EDR, XDR 및 Data Lake 언어 형식으로 즉시 변환될 수 있습니다. 

또한, 수비자들은 탐지 탐색 버튼을 클릭하여 CVE-2023-47246 악용 시도 탐지 관련 콘텐츠에 보다 쉽게 접근할 수 있습니다. 관련 Sigma 규칙에 즉시 도달하고, 실행 가능한 메타데이터를 활용하며, 공격자가 먼저 공격할 기회를 남겨두지 마십시오. 

탐지 탐색

CVE-2023-47246 분석

Lace Tempest 그룹은 Clop 랜섬웨어 를 확산시키는 것으로 알려져 있으며, 현재 SysAid IT 지원 및 관리 소프트웨어의 새로운 심각한 보안 버그를 악용하는 것으로 관찰되고 있습니다. Microsoft는 최근에 CVE-2023-47246라는 새로운 제로데이 취약점을 발견했으며, 이 공격이 Lace Tempest 해커들에게 귀속된 일련의 공격에서 무기화되었습니다. 문제 발견 후, Microsoft는 즉시 SysAid에 해당 결함을 보고하여 신속한 패치로 이어졌습니다.

CVE-2023-47246 은 Tomcat 웹 루트에 파일을 작성하여 공격자가 무기화할 수 있는 경로 트래버설 결함으로, 온프렘 SysAid 인스턴스에서 코드를 실행할 가능성이 있습니다.  초기 접근 및 user.exe 악성코드 배포 후, 위협 행위자는 PowerShell 스크립트를 사용하여 온프렘 SysAid 서버의 디스크 및 로그에서 모든 활동 흔적을 제거합니다. 조사 중 Lace Tempest가 GraceWire 로더를 적용하여 감염을 확산시킨 것도 발견되었습니다. 또한, 공격 체인은 MeshCentral Agent 원격 관리 도구와 PowerShell을 사용하여 피해 장치에서 Cobalt Strike를 다운로드하고 실행합니다. 

SysAid는 소프트웨어 v23.3.36에서 문제를 해결했지만, 이 버전 이전의 인스턴스는 악용 위험에 노출되어 있습니다. 

Lace Tempest 해킹 집단, aka DEV-0950는 또한 MOVEit Transfer에서의 제로데이인 CVE-2023-34362를 포함한 치명적인 보안 결함을 무기화하는 공격과 관련이 있으며, PaperCut 서버의 RCE 결함인 CVE-2023-27350과 관련이 있습니다. Lace Tempest 그룹은 FIN11과 같은 다른 해킹 집단과도 중복됩니다. TA505와 Microsoft가 관련 트윗에서 보고한 바와 같이,  Microsoft가 보고한 관련 트윗에서. 

SysAid는 CVE-2023-47246 완화 조치를 취할 것을 권장하며, 주로 최신 v23.3.36 버전으로 온프레미스 인스턴스를 업데이트하고 관련 IOCs에 기반한 잠재적 영향을 받은 서버의 철저한 손상 평가를 수행하며, 로그에서 어떠한 의심스러운 행동의 징후도 지속적으로 모니터링해야 합니다.
랜섬웨어 배포로 이어지는 공격이 증가하면서, 조직들은 새로운 위협에 지속적으로 방어를 적응시키고 위험을 최소화할 방법을 모색하고 있습니다. SOC Prime의 Threat Detection Marketplace를 활용하여 끊임없이 변하는 위협 환경을 확인하고, 랜섬웨어 탐지를 위한 900개 이상의 큐레이션된 SOC 콘텐츠 에서 귀사의 위협 프로필에 맞게 CTI로 강화된 콘텐츠를 이익받으십시오.