터널비전 APT 그룹의 Log4j 악용

2021년의 가장 악명 높은 익스플로잇 중 하나가 12월에 사이버 보안 세계에 요란하게 등장했으며, 이제 Log4Shell 이 다시 주목받고 있습니다: 이란 연계 TunnelVision APT는 VMware Horizon Log4j 취약점을 이용해 이익을 챙기고 있으며, Fortinet FortiOS(CVE-2018-13379) 및 Microsoft Exchange(ProxyShell)를 대규모로 악용하고 있습니다.

TunnelVision의 활동 탐지

현재 데이터에 따르면 TunnelVision의 최종 목표는 패치되지 않은 VMware Horizon 서버를 이용해 랜섬웨어를 배포하는 것입니다. 위협 행위자를 식별하는 Sigma 규칙을 확인하십시오: 지속성을 유지하기 위해 사용된 명령 줄을 탐지하고, DLL 사이드로딩 및 Fortinet FortiOS, ProxyShell, Log4Shell 같은 1일 취약점의 광범위한 악용과 관련된 기타 의심스러운 행동을 확인합니다.

TunnelVision 위협 행위자가 Log4j 취약점을 이용해 VMware Horizon을 악용함(프로세스 생성 경유)

VMware Horizon에서의 Log4j(CVE-2021-44228) 취약점 악용(예약된 작업 생성 경유)

cmdline을 통한 VMware Horizon에서의 Log4j(CVE-2021-44228) 취약점 악용과 Prophet Spider

VMBlastSG 서비스를 통한 VMware Horizon에서의 Log4j RCE(CVE-2021-44228) 타깃

Log4j 익스플로잇, 다시 VMWare Horizon 서버를 취약하게 만듦(프로세스 생성 경유)

Log4j 익스플로잇, 다시 VMWare Horizon 서버를 취약하게 만듦(프로세스 생성 경유)

규칙들은 우리 사이버 위협 개발자들에 의해 제공됩니다. Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.

TunnelVision 공격자가 Fast Reverse Proxy Client(FRPC) 및 Plink과 같은 터널링 도구를 사용해 탐지를 회피하는 것으로 입증되었습니다. 이 환경에서는 모든 보안 전문가가 위협 인텔리전스를 커뮤니티와 공유하고 사용할 수 있는 침해 지표를 활용할 것을 강력히 권장합니다. 또한 방어 및 탐지 루틴을 한 단계 업그레이드할 기회를 놓치지 마세요. 전체 탐지 콘텐츠 목록을 확인하려면 SOC Prime 플랫폼을 방문하십시오. 사이버 보안 분야에 능숙한 사람들은 Threat Bounty 프로그램에 참여하여 업계 선도 플랫폼에 SOC 콘텐츠를 게시하고 귀중한 기여에 대한 보상을 받는 것을 환영합니다.

탐지 보기 위협 바운티 가입

TunnelVision APT 그룹 익스플로잇

보안은 가장 약한 고리만큼 강합니다. 몇 달 전, Log4j 라이브러리는 위협 행위자가 피해자의 장치와 네트워크에 진입하는 주요 관문이 되었습니다. Log4Shell, 앞서가는 Log4j 또는 LogJam으로 알려진 Apache Log4j의 치명적 취약점은 2021년 12월에 처음 등장했으며, 전 세계 기업들은 심각한 사이버 보안 문제와 씨름하고 있습니다. 악명 높은 Log4Shell은 사건의 심각성과 빠르게 늘어나는 빈도로 디지털 보안 커뮤니티를 놀라게 했습니다. 라이브러리 버그를 이용하기 쉬워 인증되지 않은 원격 코드 실행이 시스템 전체의 위험을 초래했다.

오늘날 TunnelVision은 Log4j 취약점, Fortinet FortiOS, 그리고 Microsoft Exchange를 중동과 미국을 주요 표적으로 삼아 악용하고 있습니다. SentinelOne 연구원들은 보고했습니다. TTPs 분석은 이란 국가 지원 해커 조직인 Nemesis Kitten, Phosphorus 및 Charming Kitten의 특징적인 패턴을 추적합니다.

VMware Horizon에서의 Log4j 악용은 VMware 제품의 Tomcat 서비스에서 발생하는 악성 프로세스에 의해 시작됩니다. 연구원들에 따르면, 초기에는 Log4j를 악용하여 PowerShell 명령을 실행하고, 이후 Tomcat을 사용해 PS 역 셸 명령을 실행합니다. PowerShell을 사용하여 위협 행위자는 Ngrok과 같은 터널링 도구를 다운로드하여 PowerShell 백도어를 드롭하려는 목적을 가지고 있습니다. 첫 익스플로잇 패키지는 InteropServices.exe 실행 파일을 포함하는 zip 파일이며, 두 번째로는 이전 캠페인에서 국가 지원 해커들이 많이 사용했던 수정된 PowerShell 원라이너입니다.

TunnelVision은 작전 내내 페이로드를 저장하기 위해 “VmWareHorizon”이라는 GitHub 저장소를 사용한 것으로 보고되었습니다.

마무리

APT는 현대 사이버 보안 위협 프레임워크의 뛰어난 위험 요소입니다. SOC Prime 플랫폼 은 APT의 맞춤형 해킹 솔루션에 대한 방어를 더 빠르고 효율적으로 도와줍니다. CCM 모듈의 콘텐츠 스트리밍 기능을 테스트하고 조직의 일일 SOC 운영을 사이버 위협 인텔리전스와 함께 강화하십시오. 빠르게 변화하는 사이버 보안 위험 환경의 맥박을 유지하고 최상의 대응 솔루션을 얻으십시오. SOC Prime.