Atom Silo 랜섬웨어 감염 탐지

랜섬웨어 행위자들은 더 큰 이익을 위해 악의적인 트렌드의 최전선에 머물기 위해 노력합니다. 최근 보안 연구원들은 Atlassian Confluence의 중요한 취약점(CVE-2021-26084)을 이용하여 랜섬웨어 감염을 진행하는 새로운 위협 행위자를 발견했습니다. Atom Silo라는 이름의 이 범죄 조직은 CVE-2021-26084와 몇 가지 새로운 회피 기술을 사용하여 탐지를 피하고 협박 공격에 성공합니다.

Atom Silo 랜섬웨어

심층적인 조사에 따르면 Sophos Labs에 의해, Atom Silo는 LockFile 및 LockBit과 같은 생산적인 랜섬웨어 계열과 많은 공통점을 가지고 있습니다. 올해 초 Microsoft 제품에서 발견된 PetitPotam and ProxyShell 취약점을 이용한 LockFile과 유사하게, Atom Silo는 감염을 위해 Atlassian Confluence Server 및 Data Center의 중요한 취약점(CVE-2021-26084)을 활용했습니다.

랜섬웨어는 CVE-2021-26084를 이용하여 버그 발견 후 단 3주 만에 킬 체인을 업데이트하여 성공적인 침입 가능성을 높였습니다. 공격의 악명을 더하기 위해, Atom Silo 유지자들은 탐지를 피하기 위해 몇 가지 혁신적인 기술도 채택했습니다.

초기 침입이 발생하자마자 랜섬웨어 행위자들은 Confluence Server 버그(CVE-2021-26084)를 이용하여 백도어를 생성했습니다. 이 초기 백도어는 DLL 측로드를 통해 두 번째, 더 은밀한 백도어를 드롭하고 이니셔트하는 데 사용되었습니다. 두 번째 백도어는 해커들이 Windows Management Interface (WMI)를 통해 원격으로 Windows 셸 명령을 실행하고 감염된 네트워크를 가로질러 이동할 수 있도록 도왔습니다.

위에서 설명한 것만이 Atom Silo 그룹이 탐지를 피하기 위해 적용한 유일한 트릭은 아닙니다. 해커 집단은 또한 랜섬웨어 페이로드에 악성 커널 드라이버를 장착하여 엔드포인트 보호를 방해할 수 있었습니다.

Confluence 취약점 (CVE-2021-26084) 공격 중

2021년 8월 25일, Atlassian은 Confluence Server 및 Data Center에 영향을 미치는 중요한 원격 코드 실행(RCE) 취약점을 수정하는 긴급 보안 권고를 발표했습니다. 이 결점은 OGNL 인젝션 문제로, 인증된 행위자(또는 경우에 따라 인증되지 않은 행위자)가 노출된 인스턴스에서 임의 코드를 실행할 수 있도록 합니다.

권고가 발표된 지 일주일 후, 보안 연구원들은 이 버그에 대한 PHP 개념 증명(PoC) 익스플로잇과 함께 상세한 기술 분석을 발표했습니다. PoC는 노출된 Confluence Server 및 Data Center 인스턴스를 향한 탐색의 물결을 일으켰고, 여러 적대 세력이 CVE-2021-26084를 사용하여 암호화 광산 재설치했으며, 버그가 발견된 몇 주 후 Atom Silo 범죄 조직이 피해자를 공격하기 위해 취약점을 무기화했습니다.

미 사이버 사령부(USCYBERCOM)는 미국 기업들이 대규모 악용 중인 중요한 Atlassian Confluence 취약점에 대응하도록 촉구하기 위해 긴급히 경고 를 발령했습니다. CISA 또한 노출된 인스턴스를 가능한 한 빨리 패치해야 함을 강조했습니다. Atom Silo 탐지

Atlassian Confluence RCE 버그에 의존하는 Atom Silo 감염을 탐지하려면 우리의 열정적인 위협 현상금 개발자

이 릴리즈한 무료 Sigma 규칙 세트를 다운로드할 수 있습니다. 추가로, 랜섬웨어 계열에 대응하는 최고의 방어 방법에 대한 이 릴리즈한 무료 Sigma 규칙 세트를 다운로드할 수 있습니다. 추가로, 랜섬웨어 계열에 대응하는 최고의 방어 방법에 대한업계 지침 을 확인해 보세요. Atom Silo Ransomware는 Confluence OGNL 취약점 CVE-2021-26084를 사용합니다 (프록시를 통해)

이 규칙은 다음과 같은 SIEM SECURITY ANALYTICS 플랫폼에 대한 번역을 포함합니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.

이 규칙은 Impact, Persistence, Privilege Escalation, Defense Evasion 전술을 다루는 MITRE ATT&CK 방법론에 맵핑되어 있습니다. 특히, 데이터 영향 암호화(t1486) 및 Public-Facing Application 악용(t1190) 기술과 DLL 측로드 서브 기술(T1574.002)인 Hijack Execution Flow(t1574) 기술을 다룹니다.

Atom Silo Ransomware는 Confluence RCE 및 DLL Side-Loading을 사용합니다 (파일 이벤트를 통해)

이 규칙은 다음과 같은 SIEM SECURITY ANALYTICS 플랫폼에 대한 번역을 포함합니다: Azure Sentinel, ELK Stack, Chronicle Security, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix, SentinelOne, Qualis.

이 규칙은 Impact, Persistence, Privilege Escalation, Defense Evasion 전술을 다루는 MITRE ATT&CK 방법론에 맵핑되어 있습니다. 특히, 데이터 영향 암호화(t1486) 기술과 Hijack Execution Flow(t1574) 기술의 일환으로 DLL Side-Loading 서브 기술(T1574.002)을 다룹니다.

Atlassian Confluence Server 및 Data Center의 CVE-2021-26084 취약점과 관련된 악성 활동을 탐지하고 완화하려면 이미 SOC Prime 플랫폼에 제공된

탐지 목록 을 확인하세요. 위협 탐지를 더 쉽고 빠르고 간단하게 만들기 위해 SOC Prime 플랫폼에 등록하십시오. 20개 이상의 지원되는 SIEM 및 XDR 기술 내에서 최신 위협을 즉시 탐색하고, 위협 조사를 자동화하며, 20,000명 이상의 커뮤니티 보안 전문가가 제공하는 피드백과 검증으로 보안 운영을 강화하십시오. 자신만의 탐지 콘텐츠를 제작하고 싶으신가요? 우리 위협 현상금 프로그램에 참여하시어, Threat Detection Marketplace 레포지토리에 Sigma 및 Yara 규칙을 공유하고 귀하의 기여에 대한 반복적인 보상을 받으세요!

플랫폼으로 이동

위협 현상금 참여 Join Threat Bounty