Kaseya 공급망 공격에서 배포된 REvil 랜섬웨어
목차:
수백 개의 기업이 최근 소프트웨어 회사 Kaseya에 대한 대규모 공급망 공격에 노출되었습니다. Kaseya의 VSA 소프트웨어의 제로데이 버그가 악의적으로 REvil 갱단 에 의해 이용되어 30개의 관리 서비스 제공업체(MSP)와 다수의 고객이 랜섬웨어에 감염되었습니다.
공급업체는 2021년 7월 2일부터 취약점을 인지하고 있었지만 Kaseya는 여전히 문제를 조사 중이며, 공식 패치를 앞으로 며칠 내로 배포할 예정입니다. 이 소규모 지연은 2021년 7월 4일 REvil 위협 행위자가 악성 업그레이드를 추진하게 했고, 미국의 긴 연휴로 방어가 약화된 동안 침입이 진행되었습니다.
Kaseya VSA 공급망 공격
에 따르면 Huntress, 의 초기 침해 지표는 회사의 사건 대응 팀 이 Kaseya의 VSA 소프트웨어와 관련된 보안 사건 가능성 때문에 경계하고 있을 때, 7월 2일에 흔적을 추적했습니다.
연구자들은 REvil 위협 행위자들이 Kaseya의 VSA 서버의 제로데이 취약점을 악용해 웹 패널에서 인증을 우회하고 SQL 명령어를 장비에 실행하여 모든 연결된 클라이언트에 REvil 페이로드를 배포한 것으로 믿고 있습니다. 고객들은 오래된 버전의 Microsoft Defender 애플리케이션의 취약점을 이용해 안티바이러스 보호를 극복하는 악성 ‘VSA 에이전트 핫픽스’ 팩을 받았습니다.
Kaseya 공급망 공격은 공식 REvil 블로그에 따르면 백만 개 이상의 개별 장치가 암호화되고 작동이 중단되는 결과를 초래했습니다. 동시에 보안 전문가들은 미국, 호주(EU), 유럽연합(EU), 라틴 아메리카(LATAM)의 30개 이상의 MSP와 1,000개 이상의 비즈니스가 감염된 것을 확인할 수 있었습니다.
REvil의 성명에 따르면 해커들은 모든 피해자가 $70,000,000 상당의 비트코인 몸값을 지불할 경우 단일 복호화를 공개할 계획을 하고 있습니다.
글로벌 사이버 보안 커뮤니티의 조치
공급망 공격의 폭로 직후, Kaseya는 신속하게 조치를 취했고 타사의 사이버 보안 전문가 커뮤니티의 지원을 받아 문제를 해결하고 고객 서비스를 복원하기 시작했습니다. 공급업체는 현장 고객을 보호하기 위해 SaaS 서버를 즉시 중단하고 호스팅된 VSA 서버를 추가 공지가 있을 때까지 오프라인 상태로 유지하도록 강력히 권장했으며, 이는 회사의 중요 공지 2021년 7월 4일에 발표되었습니다. 7월 4일, Kaseya는 새로운 침해 감지 도구 를 도입하여 시스템에서 침해 지표(IoC)를 점검할 수 있도록 했습니다. 사건이 발생하자 마자 글로벌 사이버 보안 커뮤니티는 사건을 연구하며 Kaseya 를 지원하기 위해 적극적인 협력에 참여했습니다. Huntress 연구자들이 수행한 기술 분석에 따르면, 적들이 SQLi 취약점. 을 이용한 것으로 보입니다. 7월 4일의 12차 업데이트에 따르면, Huntress 연구에 의해 적들은 인증 우회를 적용하여 손상된 VSA 서버에 접근하고, 원래의 페이로드를 업로드하고, SQL 인젝션을 이용해 명령을 실행했습니다.
Kaseya 공급망 공격 감지
전 세계 여러 MSP를 강타한 이 거대한 랜섬웨어 사건에 대해 조직이 사전에 방어할 수 있도록 하기 위해, SOC Prime 팀은 Florian Roth와 함께 전용 시그마 규칙을 출시했습니다. 이 SOC 콘텐츠 항목들은 Threat Detection Marketplace에서 무료로 다운로드할 수 있습니다.
SOC Prime 팀이 작성한 이 규칙은 Kaseya VSA에 대한 SQLi 악용 시도 가능성을 탐지하며, 다음의 언어 형식으로 번역되었습니다:
SIEM & 보안 분석: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Apache Kafka ksqlDB, Securonix
MITRE ATT&CK
전술: 초기 접근
기법: 공공-facing 애플리케이션 익스플로잇 (T1190)
Florian Roth가 소유한 GitHub 리포지토리에서 이 행동 기반 탐지 시그마는 Kaseya 대량 MSP 랜섬웨어 사건에 관련된 REvil 그룹의 프로세스 명령줄 패턴과 위치를 탐지합니다. 이 공급망 공격 외에도, 이 규칙은 다른 유사한 악성코드를 탐지하는 데에도 사용할 수 있습니다.
이 시그마 규칙은 다음 언어 형식으로 번역될 수 있습니다:
SIEM & 보안 분석: Azure Sentinel, Chronicle Security, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Sysmon, Apache Kafka ksqlDB, Securonix
EDR: Carbon Black, CrowdStrike, SentinelOne
MITRE ATT&CK
행위자: GOLD SOUTHFIELD
SOC Prime은 최근에 업계 가이드라인: 2021년 랜섬웨어 공격 방어 을 발표하여 랜섬웨어 방어에 대한 모범 사례를 다루고, 다양한 부문에 속한 선도적인 MSP와 조직이 산업별 침입에 선제적으로 맞설 수 있도록 최신 탐지를 제공합니다. 최신 랜섬웨어 트렌드에 대한 업데이트를 유지하고 조직의 SOC의 사이버 방어 능력을 강화하기 위해 이러한 업계 가이드라인을 확인하세요. 또한 우리의 시그마 규칙 가이드 를 참고하여 초보자를 위한 위협 헌팅 기술을 향상시키고 새로운 위협에 대한 협력적 사이버 방어를 강화하기 위해 탐지 방안을 만드세요.
Threat Detection Marketplace에 가입하여 사용 중인 SIEM & XDR 스택에 맞춰 설계된 100,000개 이상의 선별된 교차 도구 탐지 및 대응 알고리즘에 액세스하세요. 위협 헌팅 활동에 참여하고 탐지 콘텐츠를 직접 제작하고 싶습니까? 처음으로 개최하는 Bounty Program에 참여하여 위협 탐지를 더 쉽고 빠르며 간단하게 만들어 보세요! MITRE ATT&CK methodology. Keen to engage in threat hunting activities and craft your own detection content? Join our first-ever Bounty Program and help make threat detection easier, faster, and simpler together!
