CVE-2024-37085 탐지: 랜섬웨어 그룹이 VMware ESXi 하이퍼바이저의 새로 패치된 취약점을 악용하여 전체 관리자 권한을 획득하다

[post-views]
7월 30, 2024 · 3 분 읽기
CVE-2024-37085 탐지: 랜섬웨어 그룹이 VMware ESXi 하이퍼바이저의 새로 패치된 취약점을 악용하여 전체 관리자 권한을 획득하다

정보가 공개된 지 몇 주 후, CVE-2024-38112, Void Banshee 그룹이 Atlantida stealer를 배포하기 위해 악용한 치명적인 취약점으로, 또 다른 보안 결함이 주목받았습니다. 여러 랜섬웨어 그룹이 VMware ESXi 하이퍼바이저에서 패치된 취약점인 CVE-2024-37085를 이용하여 권한을 상승시키고 파일을 암호화하는 악성 샘플을 배포하고 있습니다.

CVE-2024-37085 악용 시도 탐지

2023년 한 해에만 30,000개 이상의 새로운 취약점이 식별되었습니다. 이 수치는 2024년에는 42% 증가하여, 사전적인 취약점 탐지가 오늘날 가장 두드러진 사용 사례 중 하나로 만들었습니다. 사이버 방어자들에게 큰 위협이 되는 최신 취약점은 최근 VMware ESXi (CVE-2024-37085)에서 패치된 인증 우회 결함으로, 랜섬웨어 운영자들이 실전 공격에 적극 활용하고 있습니다.

CVE-2024-37085 악용 시도를 적시에 식별하기 위해, 보안 연구원들은 집단 사이버 방어를 위한 SOC Prime Platform을 활용할 수 있으며, 이는 조직의 보안 태세를 강화하기 위한 고급 위협 탐지 및 사냥 솔루션과 함께 선별된 탐지 컨텐츠를 통합합니다. 아래 탐지 탐색 버튼을 누르면 관련 탐지 스택을 즉시 자세히 볼 수 있습니다.

탐지 탐색

모든 규칙은 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 각 탐지는 위협 조사를 단순화하기 위해 CTI 참조와 공격 타임라인을 포함하여 광범위한 메타데이터로 보강됩니다.

CVE-2024-37085를 악용하여 악성 활동을 조사하려는 보안 전문가는 그룹 식별자를 기반으로 하는 사용자 지정 태그를 사용하여 SOC Prime의 Threat Detection Marketplace에서 검색할 수 있습니다: Storm-0506, Octo Tempest, Manatee Tempest, Akira, 그리고 Black Basta.

CVE-2024-37085 분석

Microsoft 연구원들은 VMware ESXi 하이퍼바이저에서 발견된 중간 정도의 심각성을 가진, 최근에 패치된 취약점인 CVE-2024-37085를 공개했습니다. 이는 다양한 랜섬웨어 운영자에 의해 적극적으로 악용되고 있으며 대규모 암호화를 위해 사용되고 있습니다. CVE-2024-37085는 CVSS 점수 6.8의 인증 우회 취약점으로, AD 권한이 충분한 공격자가 사용자 관리를 위해 AD를 사용하도록 이전에 설정된 ESXi 호스트에 대한 전체 제어를 획득할 수 있게 합니다.

Microsoft는 Storm-0506, Storm-1175, Octo Tempest, Manatee Tempest와 같은 랜섬웨어 그룹이 Akira and Black Basta 랜섬웨어를 배포하기 위해 포스트 침해 기법을 사용하고 있다고 보고했습니다. 더욱 구체적으로, 이 적의 기법은 도메인 내 그룹 “ESX Admins”를 생성하고 사용자를 추가하게 하는 일련의 명령 실행을 포함합니다. 조사를 통해 공격자는 도메인에 연결된 ESXi 하이퍼바이저의 취약점을 악용하기 위해 특정 명령을 사용하여 권한을 상승시켜 전체 관리자 액세스를 확보할 수 있었습니다. 추가 분석 결과, 도메인 그룹 “ESX Admins”에 속한 회원은 자동으로 전체 관리자 액세스를 얻기 때문에 CVE-2024-37085는 쉽게 악용될 수 있음이 밝혀졌습니다.

Microsoft 연구원들은 CVE-2024-37085의 세 가지 잠재적 악용 방법을 제시했으며, 공격자가 “ESX Admins”라는 도메인 그룹을 생성하여 자신이나 다른 사용자를 추가하거나, 기존 도메인 그룹의 이름을 “ESX Admins”로 변경하고 사용자를 추가하거나, ESXi 하이퍼바이저의 권한을 새로고침하는 방법을 포함합니다.

성공적인 악용의 결과로, 적대자는 ESXi 하이퍼바이저에 대한 전체 관리자 액세스를 획득하여 하이퍼바이저의 파일 시스템을 암호화하여 호스팅된 서버 기능을 손상시킬 수 있는 초록불을 얻습니다. 또한, 이는 공격자가 호스팅된 VM에 접근할 수 있게 하여 데이터 유출과 측면 이동을 용이하게 합니다.

CVE-2024-37085를 악용한 공격과 관련된 위험을 최소화하는 데 도움을 주기 위해, 도메인에 연결된 ESXi 하이퍼바이저를 가진 조직은 CVE-2024-37085를 수정하기 위해 VMware에서 제공하는 최신 보안 업데이트를 설치하고, 자격 증명 위생 모범 사례를 따르며, 조직의 중요한 자산 태세를 강화하고, 네트워크 장치의 인증된 스캔을 지속적으로 배포하여 잠재적인 사각지대를 적시에 식별할 것을 권장합니다. SOC Prime의 공격 탐정 은 조직이 실행 가능한 계획으로 SIEM 태세를 강화하여 위협 가시성을 극대화하고 탐지 범위 격차를 해결하는 동시에, 정보에 기반한 결정을 통해 사이버 보안 전략을 강화할 수 있게 합니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-49144 취약점: Notepad++의 치명적인 권한 상승 결함으로 인한 완전한 시스템 장악
블로그, 최신 위협 — 5 분 읽기
CVE-2025-49144 취약점: Notepad++의 치명적인 권한 상승 결함으로 인한 완전한 시스템 장악
Veronika Telychko
CVE-2025-6018 및 CVE-2025-6019 취약점 악용: 로컬 권한 상승 결함 체인을 통해 대부분의 Linux 배포판에서 공격자가 루트 접근 권한을 획득할 수 있음
블로그, 최신 위협 — 4 분 읽기
CVE-2025-6018 및 CVE-2025-6019 취약점 악용: 로컬 권한 상승 결함 체인을 통해 대부분의 Linux 배포판에서 공격자가 루트 접근 권한을 획득할 수 있음
Veronika Telychko
CVE-2025-4123 취약점: “Grafana Ghost” 제로데이로 인한 악성 계정 탈취 가능성
블로그, 최신 위협 — 4 분 읽기
CVE-2025-4123 취약점: “Grafana Ghost” 제로데이로 인한 악성 계정 탈취 가능성
Veronika Telychko