VMware Horizon 시스템에서 Log4Shell을 악용하려는 새로운 시도: CISA, CVE-2021-44228 Apache Log4j 취약점을 적극적으로 활용하는 위협 행위자 경고

악명 높은 CVE-2021-44228 아파치 Log4j 취약점 별칭 Log4Shell은 여전히 사이버 방어자들을 괴롭히며 야생에서의 활발한 악용 사례가 보고되고 있습니다. 2021년 12월부터, 패치되지 않은 VMware Horizon 및 Unified Access Gateway (UAG) 서버에서 악명 높은 Log4Shell 결함이 위협 행위자에게 목표 시스템에 초기 접근을 허용하게끔 널리 무기화되었습니다. 이에 따르면 CISA와 미국 해안경비대 사이버 커맨드 (CGCYBER)의 공동 자문에 따르면, 네트워크 사이버 방어자들은 CVE-2021-44228 결함을 활용한 새로운 악용 시도에 유의해야 하며 관련 패치나 해결책을 적용하지 않은 조직의 퍼블릭-페이싱 서버가 심각한 사이버 위험에 노출될 수 있습니다. 

VMware Horizon 시스템에서 Log4Shell 악용 시도를 탐지

증가하는 사이버 위험으로 인해 Log4Shell 취약점에 취약한 VMware 서버를 활용하는 조직은 사이버 회복력을 강화하기 위한 새로운 방법을 지속적으로 모색하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 정교하게 선별된 Sigma 규칙 을 우리 열정적인 Threat Bounty 프로그램 개발자 Onur Atali and Emir Erdogan이 개발하여 조직이 VMware Horizon 및 UAG 서버에서 CVE-2021-44228 결함의 최신 악용 시도를 탐지할 수 있게 합니다:

파일 이벤트를 통한 VMware Horizon 시스템에서의 Log4Shell 악용 가능성과 관련된 악성 PE 파일 탐지

이 Sigma 규칙은 업계 선두의 클라우드 네이티브 솔루션을 포함하여 21개의 SIEM 및 보안 분석 플랫폼에 적용될 수 있습니다. 탐지는 MITRE ATT&CK® 프레임워크 에 맞추어 수행되며, 주요 기술로 Command and Scripting Interpreter (T1059)와 초기 접근 기술로 Exploit Public-Facing Application (T1190)을 통해 사이버 방어자가 적대 행위자가 네트워크에 초기 접근을 시도할 때 그 행동을 식별할 수 있게 합니다. 

VMware Horizon 시스템에서 Log4Shell 악용 이후 의심 가는 예약 작업 생성 (프로세스 생성 경유)

위에 참조된 Sigma 탐지는 SOC Prime 플랫폼이 지원하는 23개의 SIEM, EDR 및 XDR 솔루션과 호환되며, Scheduled Task/Job (T1053) 기술로 실행 ATT&CK 전술을 다루어 관련 위협에 대한 가시성을 향상시킵니다. 이 Sigma 규칙을 활용하여 보안 전문가들은 SOC Prime의 Quick Hunt 모듈의 도움을 받아 최근 Log4Shell 악용 시도와 관련된 위협을 즉시 추적할 수 있습니다. 

23,000명 이상의 전 세계 InfoSec 전문가들의 집단 사이버 보호 전문 지식으로 구동되는 SOC Prime의 플랫폼은 CVE-2021-44228 악용 탐지를 위한 독특한 Sigma 규칙 모음을 선별합니다. 클릭 탐지 및 추적 버튼을 클릭하여 SOC Prime 플랫폼의 모든 탐지 콘텐츠를 즉시 드릴 다운하여 필터링하십시오. 

또한, 위협 헌터, 사이버 위협 인텔리전스 전문가 및 SOC 분석가는 SOC Prime의 사이버 위협 검색 엔진을 활용하여 위협 조사를 간소화할 수 있습니다. 클릭 위협 문맥 탐색 버튼을 클릭하여 CVE-2021-44228과 관련된 탐지 콘텐츠 목록에 즉시 접근하고 등록 없이도 손쉽게 사용 가능한 관련 문맥 정보를 탐색하십시오.

탐지 및 추적 위협 문맥 탐색

AA22-174A 사이버 보안 및 인프라 보안국 (CISA) 경고: 새로운 공격 분석

사이버 방어자들은 CVE-2021-44228 아파치 Log4j 취약점 Log4Shell이라고 불리기도 하는 이 취약점, 2021년 12월 처음 등장한 이후 여전히 사이버 위협 분야에서 논란을 일으키고 있습니다. 발견된 지 반년이 넘게 지났지만, 연구자들은 글로벌 사이버 방어 커뮤니티에 Log4Shell의 새로운 악용 시도를 계속 경고하고 있습니다. 

CISA는 CGCYBER와 협력하여 최근 새로운 공격 경고를 발행했습니다 Log4Shell 악용을 사용하는 새로운 공격을 경고하며, 국가 후원 APT를 포함한 여러 해킹 그룹이 공공 시설의 VMware Horizon 및 UAG 시스템에 영향을 미칠 수 있는 취약점을 지속적으로 무기화하고 있다고 알려졌습니다. 이전에, 2021년 2월, 이란 관련 TunnelVision APT 그룹 이 패치되지 않은 VMware Horizon 서버에서 Log4Shell을 악용하고 Fortinet FortiOS 취약점 및 Microsoft Exchange ProxyShell 취약점을 함께 사용한 것으로 관찰되었습니다.

이 최신 공격에서, 적들은 목표 시스템에 로더 악성 코드를 투입하고 C2 서버 연결을 가능하게 하며, 접근한 네트워크에서 가로 이동 및 데이터 유출을 적용하는 것으로 관찰되었습니다.

조직의 사이버 방어 잠재력을 높이기 위해, 발행된 자문은 MITRE ATT&CK 프레임워크를 기반으로 한 적대자 TTP를 강조하고, 관련 IOC를 제공하며 로더 악성 코드에 대한 정보를 다루고 있습니다. 가능한 완화 조치로, 잠재적으로 영향을 받는 VMware Horizon 설치 및 UAG 시스템이 있는 모든 조직은 주로 관련 VMware 대응 에서 목록화된 패치 및 해결책에 따라 최신 버전으로 소프트웨어를 업데이트할 것을 강력히 권장합니다. 

적시에 알려진 취약한 취약점을 패치하고 업계 최고의 사이버 보안 관행을 활용하면 진행 중인 조직이 사이버 회복력을 강화할 수 있습니다. 협력적 사이버 방어를 위해 SOC Prime의 Detection as Code 플랫폼 을 활용하여 조직들은 자신의 탐지 및 대응 능력을 크게 향상시킬 수 있으며, 보안 투자의 즉각적인 가치를 창출할 수 있습니다. 또한, 개별 연구자들은 글로벌 사이버 보안 커뮤니티에 기여하고 자신만의 탐지 콘텐츠를 업계 관계자들과 공유함으로써 차이를 만들 수 있습니다. 귀하의 탐지 알고리즘으로 집단 사이버 보안 전문 지식을 풍부하게 하고 전문 기술을 통해 수익을 창출할 수 있는 독특한 기회를 제공하는 SOC Prime의 크라우드소싱 이니셔티브에 참여하세요. Threat Bounty 프로그램 to enrich the collective cybersecurity expertise with your own detection algorithms and gain a unique opportunity to monetize your professional skills.