파괴적인 공격으로 잘 알려진 러시아의 국가지원 사이버 스파이 단체가 중요한 보안 취약점(CVE-2019-10149)을 통해 Exim 메일 서버를 적극적으로 침해하고 있습니다. 5월 말에 국가안보국은 사이버 보안 자문보고서 를 발표하여 Sandworm Group과 관련된 캠페인에 대해 경고했습니다. 이 그룹은 BlackEnergy 캠페인, 우크라이나 전력망에 대한 Industroyer 공격 및 NotPetya의 발병과 같은 역사상 가장 파괴적인 사이버 공격으로 가장 잘 알려져 있습니다.
Sandworm 그룹은 공개된 MTA에서 Exim 소프트웨어를 사용하는 피해자를 공격하여 “MAIL FROM” 필드의 SMTP(간이 메일 전송 프로토콜) 메시지에 명령을 보내고 있습니다. CVE-2019-10149가 성공적으로 악용되면, 공격자들은 원하는 코드를 실행할 수 있게 됩니다. 이 취약점이 악용되면, 피해자 기기는 공격자가 소유한 도메인에서 셸 스크립트를 다운로드하여 실행하고, 이는 권한이 있는 사용자를 추가하려고 시도하고, 네트워크 보안 설정을 비활성화하며, 추가 원격 접근을 가능하게 하기 위해 SSH 구성을 업데이트합니다. 공격 중 Sandworm 그룹은 또한 다른 취약점들 을 Exim 메일 서버에서 악용합니다: CVE-2019-10149, CVE-2019-15846, CVE-2019-16928. 이 그룹은 적어도 2019년 8월부터 이러한 방식으로 패치되지 않은 메일 서버를 악용해 왔습니다.
Osman Demir가 발표한 커뮤니티 위협 헌팅 규칙은 Sandworm 그룹에 의해 수행된 Exim 서버에 대한 공격 감지를 가능하게 합니다: https://tdm.socprime.com/tdm/info/ysGRM8W71hlN/CSH4g3IBjwDfaYjKJ8f-/?p=1
이 규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio,
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 초기 접근
기술: 공개된 애플리케이션 악용 (T1190)
