Critical Veeam Vulnerability Exploited to Spread Akira and Fog Ransomware
Veeam 백업 소프트웨어 취약점 악용
- CVE-2024-40711: Veeam Backup & Replication에서 발견된 심각한 원격 코드 실행(RCE) 취약점으로, CVSS 점수 9.8
- 대응 현황: Veeam은 2024년 9월 초 Backup & Replication 버전 12.2에서 이 취약점을 패치
- 취약점 발견자: CODE WHITE의 보안 연구원 Florian Hauser가 발견 및 보고
공격 방법과 악성 코드 배포
- VPN 자격 증명 탈취
- 공격자들은 다중 인증 미사용 VPN 게이트웨이를 통해 초기 접근
- 악용 경로
- URI /trigger (포트 8000)에서 Veeam.Backup.MountService.exe를 실행해 net.exe를 실행
- 'point'라는 로컬 계정을 생성해 관리자 권한 부여
- Fog 랜섬웨어 배포
- 보호되지 않은 Hyper-V 서버에 Fog 랜섬웨어를 배포하고 rclone 유틸리티를 사용해 데이터 탈취
- VPN 자격 증명 탈취
보안 권고
- 영국 NHS: 엔터프라이즈 백업 및 재해 복구 애플리케이션은 공격 대상이 될 수 있으므로 패치 및 MFA 사용 권고
- 미국 HHS: 보건 부문 사이버 보안 센터(HC3)는 Trinity 랜섬웨어와 관련된 보안 경고를 발행
다양한 랜섬웨어 동향
- Lynx 랜섬웨어
- Palo Alto Networks Unit 42에 따르면, 이전 INC 랜섬웨어의 소스 코드 유출로 새롭게 개발된 랜섬웨어
- MedusaLocker 변종 BabyLockerKZ
- EU와 남미 지역을 대상으로 재정 동기에 의한 공격 수행
- 공용 공격 도구와 Living-off-the-Land Binaries (LoLBins)을 활용하여 크리덴셜 탈취 및 측면 이동 수행
- Lynx 랜섬웨어
보안 권고
- 취약점 패치 적용: 모든 엔터프라이즈 백업 시스템의 최신 버전 유지
- 다중 인증 활성화: VPN 접근을 강화하여 인증 보안 향상
- 랜섬웨어 대응 전략 강화: 랜섬웨어 배포 방법과 주요 동향을 주의하며 이중 갈취 전략 대비
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA, Fortinet 및 Ivanti 취약점 KEV 목록에 추가 (0) | 2024.11.25 |
|---|---|
| WordPress Jetpack 플러그인 치명적 취약점, 2,700만 개 사이트에 영향 (0) | 2024.11.24 |
| Fortigate SSLVPN 취약점 악용 (CVE-2024-23113) (0) | 2024.11.23 |
| Angular-base64-upload 데모 스크립트 악용 취약점 (CVE-2024-42640) (0) | 2024.11.23 |
| GitHub Enterprise Server의 중요한 취약점 패치 (0) | 2024.11.23 |