ELPACO-Team 랜섬웨어 공격 탐지: 해커가 Atlassian Confluence 취약점 (CVE-2023-22527)을 악용하여 RDP 접근 및 RCE 활성화
목차:
오늘날 빠르게 진화하는 랜섬웨어 환경에서, 위협 행위자들은 접근을 획득하고 페이로드를 빠르게 배포하기 위해 전술을 가속화하고 있습니다. 최근의 공격에서 적들이 최대 심각도의 템플릿 삽입 결함을 가진 Atlassian Confluence의 CVE-2023-22527 취약점을 악용하여 인터넷에 노출된 시스템을 침해한 것처럼, 공격자들은 알려진 취약점을 진입 지점으로 사용하고 있습니다. 공격자들은 초기 침해 후 62시간 만에 다음 단계를 실행했습니다: ELPACO-team 랜섬웨어, 이는 Mimic 변종으로, 중요한 백업 및 파일 서버를 RDP 및 SMB 공유를 통해 타겟으로 삼았습니다.
CVE-2023-22527 악용 탐지하여 ELPACO-Team 랜섬웨어 배포 방지
Sophos에 따르면, 2024년 평균 랜섬웨어 복구 비용은 2억 7300만 달러로 급증했으며, 이는 전년 대비 500% 증가한 수치입니다. 이 급격한 증가는 사이버 공격의 경제적 영향을 강조하며, 보다 적극적인 방어 전략의 시급한 필요성을 보여줍니다. 최근 ELPACO-team 랜섬웨어 사고와 같은 위협을 앞서기 위해, 사이버 수비군은 신뢰할 수 있고 시기적절한 CTI 및 실행 가능한 탐지 콘텐츠가 필요합니다.
SOC Prime 플랫폼에 등록하세요 그리고 ELPACO-team 랜섬웨어 분배를 위한 Atlassian Confluence 취약점(CVE-2023-22527)을 악용하는 최근 캠페인에 대응하는 Sigma 규칙을 접할 수 있습니다. 큐레이션된 탐지 콘텐츠는 AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅 및 고급 위협 탐지를 위한 전체 제품군으로 지원됩니다. 아래의 탐지 결과 탐색 버튼을 누르고 관련 콘텐츠 스택을 즉시 드릴다운하세요.
또한, 보안 전문가들은 해당 CVE ID 태그를 사용하여 위협 탐지 마켓플레이스를 탐색함으로써 CVE-2023-22527 악용에 특화된 탐지 콘텐츠를 찾을 수 있습니다. 수비자들은 또한 보다 넓은 “CVE” 태그나 “랜섬웨어” 태그를 적용하여 전 세계 랜섬웨어 공격을 다루는 탐지 규칙 세트를 액세스할 수 있습니다.
SOC Prime 플랫폼의 모든 규칙은 여러 SIEM, EDR, 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 모든 규칙에는 위협 인텔 참조, 공격 타임라인, 긴급 조치 추천 등이 포함된 상세한 메타데이터가 함께 제공됩니다. references, attack timelines, triage recommendations, and more.
이에 더해, 보안 전문가들은 항상 적극적인 방어가 필요 – 위협 기반 탐지 엔지니어링을 위한 개인적 IDE & 보조 조종사 – 을 사용하여 위협 조사를 간소화할 수 있습니다. 이제 AI 기능에 제한 없이 완전 무료로 사용 가능합니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화된 쿼리로 빠른 IOC 스윕을 가능하게 하며, ATT&CK 태그를 예측하고 AI 팁으로 쿼리 코드를 최적화하고, 여러 SIEM, EDR 및 데이터 레이크 언어로 코드를 변환합니다.
CVE-2023-22527 분석: ELPACO-Team 랜섬웨어의 공격
수비자들은 최근 알려진 취약점을 미공식 패치된 인터넷에 노출된 Atlassian Confluence 서버에서 악용하여 랜섬웨어 운영을 시작하는 위협 행위자들의 정교한 공격 캠페인을 식별했습니다.
2024년 초여름에 발생한 이 침해는 CVE-2023-22527이라는 CVSS 점수가 10.0에 이르는 템플릿 삽입 취약점을 활용한 것입니다. 이 결함은 RCE 및 무단 접근을 용이하게 하는 Confluence 데이터 센터와 서버의 이전 버전(8.0.x부터 8.4.x까지, 8.5.0부터 8.5.3까지)에 영향을 미칩니다. 특히 공격자들은 초기 침해 후 약 62시간 후에 랜섬웨어를 배포하며 신중하고 은밀한 접근 방식을 나타냈습니다.
이들 whoami” 명령을 발행한 후에 더 해로운 페이로드를 전달했습니다. DFIR 보고서 연구에 따르면, 내부에 들어선 후, 적들은 여러 번에 걸쳐 Metasploit 페이로드를 배포하고 C2 연결을 설정하고 AnyDesk 팀별로, 행동 방어 기술을 이해합니다. Mimikatz 같은 도구를 사용하여 자격 증명을 추출하고 RDP 접근을 가능하게 하고 네트워크를 통한 수평 이동을 수행했습니다. 공격 체인의 마지막 단계에서 적들은 ELPACO-team 랜섬웨어를 배포했으며, 이는 Mimic 랜섬웨어의 알려진 변종입니다. 공격자들은 특정 이벤트 로그를 삭제했지만, 공격 도중 상당한 데이터 유출의 증거는 없었습니다.
캠페인의 주요 세부 사항은 탐색과 이후 셀프 호스티드 AnyDesk 서버로도 사용하기 위해 단일 IP 주소(45.227.254.124)를 악의적인 인프라로 의도적으로 준비한 점입니다.
정신분열증이 풀릴 수 있습니다. VirtualAlloc and 과 과
) 실행 중 윈도우 API 기능을 모호하게 하고 해결하는 해싱 기법을 사용했습니다.
공격자들은 시스템을 침해한 즉시 Confluence 서버에 AnyDesk 원격 액세스 소프트웨어를 설치하고 실행 파일을 설치 디렉토리에 저장했으며, 무인으로 액세스할 수 있도록 “P@ssword1” 비밀번호를 설정했습니다. 이는 사용자 상호작용 없이 시스템에 다시 접근할 수 있게 했습니다.
Notably, the latest supported versions of Confluence Data Center and Server are not impacted by this vulnerability, as it was addressed through routine version updates. Nonetheless, the vendor strongly advises all customers to promptly upgrade to the most recent release to safeguard their instances against other non-critical issues highlighted in the January Security Bulletin.
The increased sophistication of adversary methods used in this campaign, ranging from exploitation of an unpatched Confluence server to deploying ransomware after stealthy lateral movement backed by the use of advanced defense evasion techniques, requires ultra-responsiveness from defenders. Potential CVE-2023-22527 mitigation measures involve timely patching, continuously monitoring for unusual system activity, and hardening remote access tools like AnyDesk to proactively defend against similar high-impact attacks. SOC Prime Platform curates a complete product suite backed by AI, automation, and actionable threat intelligence to empower security teams to outscale high-profile attacks and the most intricate threats when every second counts.
