작전 엑스체인지 마라우더
목차:
HAFNIUM APT, 마이크로소프트 익스체인지 제로데이를 악용하여 데이터를 탈취하고 악성코드를 설치하다
2021년 1월, Violexity의 보안 연구원들은 발표했다 중국과 연계된 HAFNIUM APT가 수많은 이름이 공개되지 않은 조직들을 대상으로 장기 악성 작전을 개시했다고. 위협 행위자들은 마이크로소프트 익스체인지의 미공개 제로데이 취약점을 활용하여 민감한 기업 정보를 액세스하고 침투 후 다른 악의적인 행동을 수행했다.
마이크로소프트 익스체인지 서버의 제로데이 취약점 (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065)
연구원들은 총 네 가지 새로운 제로데이가 Operation Exchange Marauder에서 적극적으로 악용되고 있다고 보고했다.
HAFNIUM 위협 행위자들이 악용한 첫 번째 문제는 서버 측 요청 위조(SSRF) 버그(CVE-2021-26855)로, 이 버그는 원격의 비인가된 행위자가 포트 443으로 임의의 HTTP 요청을 보내고 익스체인지 서버로 인증할 수 있게 할 수 있다. 그 결과, 공격자들은 대상 네트워크에 대한 특별한 지식 없이도 기업 메일박스에 쉽게 액세스할 수 있다.
캠페인 도중 사용된 다음 제로데이 문제는 통합 메시징 서비스 내의 안전하지 않은 역직렬화 버그(CVE-2021-26857)이다. 이 보안 결함은 해커가 취약한 익스체인지 서버에서 SYSTEM 권한으로 임의의 코드를 실행할 수 있도록 한다. 그러나 성공적인 악용은 관리자 권한 또는 다른 취약점의 사용을 필요로 한다.
남은 두 개의 제로데이는 인증 후 임의 파일 쓰기 버그(CVE-2021-26858, CVE-2021-27065)로, 침투된 서버의 임의 경로에 파일을 쓸 수 있게 한다. 악용은 인증을 필요로 하며, 이는 SSRF 결함(CVE-2021-26855)을 통해 혹은 관리자 자격 증명 덤핑을 통해 달성될 수 있다.
Operation Exchange Marauder: 공격 세부 사항
마이크로소프트 보고서에 따르면 중국 정부의 후원을 받는 행위자들이 위에서 언급한 제로데이들의 조합을 이용하여 시스템에 웹 쉘을 심고 이메일 데이터와 관리자 자격 증명을 덤핑했다고 한다. 추가로, 상대방은 익스체인지의 오프라인 주소록(OAB)에 액세스하는 데에도 성공했다. 수집된 모든 정보는 대상 조직을 상대로한 추가적인 정찰에 활용될 수 있다.
Operation Exchange Marauder 동안 공격받은 벤더들은 공개되지 않았다. 그러나 이전의 HAFNIUM APT 캠페인을 고려할 때, 미국에 위치한 주요 조직들이 주목을 받을 수 있다. 이전에, 위협 행위자들은 미국의 산업 기업, 교육 기관, 싱크탱크, 비정부 조직 등을 포함한 다양한 자산들을 침해한 것으로 확인되었다.
특히, HAFNIUM APT뿐 아니라 여러 다른 해커 그룹들도 Microsoft Exchange 제로데이를 악용하여 사이버 스파이 활동을 벌인 것으로 확인되었다. ESET는 관찰했다 미국, 독일, 프랑스, 카자흐스탄 내의 단체들을 대상으로 한 활성 SSRF 결함(CVE-2021-26855) 악용을.
탐지 및 완화
에 따르면 마이크로소프트 권고, 새로운 제로데이는Microsoft Exchange Server 버전 2010, 2013, 2016, 2019에 영향을 미친다. 임시 패치가 2021년 3월 2일에 출시되었으므로 사용자는 가능한 빨리 업그레이드할 것을 권장한다.
활성 악용 상황에서 신속한 공격 탐지를 촉진하기 위해, 마이크로소프트와 협력하여 SOC Prime 팀은 새로 발견된 제로데이에 관련된 악성 활동을 식별하기 위한 일련의 무료 Sigma 규칙을 긴급 발표했다.
알려지지 않은 Exchange 제로데이, 2021년 3월 (웹을 통해)
HAFNIUM 웹쉘 가능성, 2021년 3월 (웹을 통해)
Exchange CVE-2021-26858 가능성 (파일 이벤트를 통해)
Powershell Exchange Snapin (cmdline을 통해)
Exchange CVE-2021-26858 가능성 (감사를 통해)
Powershell 원시 소켓 열기 (cmdline을 통해)
알려지지 않은 Exchange 0day 관련 충돌 이벤트 (애플리케이션을 통해)
UMWorkerProcess의 비정상적인 자식 프로세스 생성 CVE-2021-26857 (cmdline을 통해)
2021년 3월 18일 업데이트: Microsoft Exchange 제로데이 취약점을 악용한 가능한 공격에 대한 사전 방어를 강화하기 위해, SOC Prime의 활성 위협 바운티 개발자 Emir Erdogan 은 커뮤니티 Sigma 규칙 세트를 출시했다. 아래 링크를 통해 탐지를 살펴보라.
포스트 익스플로이테이션 웹 쉘 액세스 익스체인지 서버 (Web Log User-Agents)
CVE-2021-27065, Exchange 서버에 CHOPPER 웹쉘 배포를 위해 악용됨
여러 제로데이 마이크로소프트 익스체인지 취약성의 Marauder 활성 악용 (웹 서버를 통해)
마이크로소프트 익스체인지 Hafnium에서의 포스트 익스플로이테이션 (예약된 작업 및 프록시를 통해)
알려진 프로세스에 의한 웹쉘 드롭을 통한 가능한 파일 생성 CVE-2021-26858
최신 위협 탐지 마켓플레이스 업데이트를 지속적으로 확인하고, 이러한 심각한 문제와 관련된 새로운 SOC 콘텐츠를 놓치지 마세요. 모든 새로운 규칙은 이 게시물에 추가될 것이다.
무료 구독 받기 위협 탐지 마켓플레이스에서, 세계 최강의 Content-as-a-Service (CaaS) 플랫폼이며 96,000개 이상의 탐지 및 대응 규칙을 모아놓아 사전 사이버 방어에 기여한다. 직접 탐지 콘텐츠를 작성하고 싶으신가요? 우리의 위협 바운티 프로그램에 참여하세요 그리고 전 세계적인 위협 사냥 이니셔티브에 기여하세요.