Home > 전체기사

첫 대규모 로그4j 캠페인? VM웨어 호라이즌 생태계에 빨간 불

  |  입력 : 2022-03-30 16:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
최악의 취약점이라고 하는 로그4셸은 악명과는 달리 큰 사고를 일으키지는 않았다. 아직까지는 말이다. 하지만 최근 VM웨어 호라이즌 환경에서 조짐이 보이기 시작했다. 누군가 자꾸 구멍을 뚫어놓고 다른 사람들에게 소개해주는 듯하다.

[보안뉴스 문가용 기자] 많은 기업들이 사용하고 있는 VM웨어 호라이즌(VMware Horizon) 서버는 공격자들의 잦은 표적이 된다. 기업 내 중요 앱들에 언제 어디서나 접근할 수 있도록 해 주는 서버이니 그럴 만도 하다. 그런 가운데 최근 로그4j(Logj4)의 취약점을 익스플로잇 하려는 공격자들까지도 이리로 눈길을 돌렸다는 경고가 나왔다.

[이미지 = utoimage]


보안 업체 소포스(Sophos)에 의하면 “1월 19일부터 호라이즌 서버를 겨냥한 취약점 익스플로잇 시도가 증가하고 있다”고 한다. 공격자들의 주요 목표는 암호화폐 채굴 코드나 백도어를 심는 것으로 보인다고 하는데, 여태까지 발견된 채굴 코드는 진(Jin), 제로마이너(z0Miner), XM리그(XMRig) 등이며 백도어에는 슬리버(Sliver), 아테라(Atera) 등이 있다고 한다.

소포스에 따르면 공격자들은 ‘최초 침투 브로커(IAB)’일 가능성이 높다고 한다. 즉 최초 접근 통로만 마련해놓고, 이를 다른 공격자들에게 판매하는 자들이라는 것이다. 보통 랜섬웨어 공격자들이 IAB들과 이런 식으로 합작하여 피해를 일으킨다. 현재 다크웹 시장 내 IAB의 가장 큰 고객은 랜섬웨어 운영자들이다. 따라서 VM웨어 호라이즌에 IAB가 출현했다는 건 랜섬웨어 공격이 뒤따를 가능성이 높다는 뜻이 된다고 소포스는 경고했다.

VM웨어 호라이즌 서버의 로그4j 취약점(CVE-2021-44228) 익스플로잇 시도에 대해 제일 먼저 경고를 낸 건 영국의 국립건강서비스(NHS)이다. 지난 1월 NHS는 “신원을 알 수 없는 악성 행위자들이 VM웨어 호라이즌에 임베드 된 아파치 톰캣(Apache Tomcat) 서비스의 로그4j의 취약점을 익스플로잇 했다”고 발표했다. “공격자들은 웹셸을 사용해 각종 악성 행위를 저지르고 있고, 랜섬웨어 등 여러 종류의 멀웨어를 활용하려 하고 있다”는 경고도 덧붙었다.

VM웨어가 VM웨어 호라이즌 서버를 위한 취약점 패치를 내놓은 것은 지난 12월의 일이다. 당시 VM웨어는 고객사들에 빠른 패치를 권고했었다. 로그4j의 취약점이 심각한 위험을 초래할 수 있기 때문이었다. VM웨어는 그 외에도 다른 제품들에서 발견된 로그4j 취약점에 대한 패치를 꾸준히 배포했었다.

로그4j의 취약점인 로그4셸(Log4Shell)은 아직도 ‘최악의 취약점’이라는 타이틀을 달고 있지만 사실 그 타이틀이 무색하게도 그리 많은 사건의 원인이 되지는 않았다. 보안 전문가들은 아직 공격자들이 제대로 된 익스플로잇 방법을 연구 및 실험 중에 있는 것으로 보인다는 의견이다. 취약점의 잠재적 위험성은 여전하다는 것이다. 또한 이미 익스플로잇 해서 악성 행위를 하고 있는데 발견이 안 되었을 뿐이라는 의견도 존재한다.

웹셸들과 암호화폐 채굴 코드들
이번에 소포스가 발견한 캠페인이 어쩌면 로그4셸이 연루된 첫 번째 대형 공격 캠페인이 될 수 있을까? 아직 결론을 내리기에는 이르다. 다만 소포스는 “공격자들이 로그4셸을 익스플로잇 하여 파워셸 스크립트를 실행하려고 하고 있다”며 “그런 후 코발트 스트라이크(Cobalt Strike)의 리버스셸 도구를 심는다”고 설명한다. 로그4셸 익스플로잇의 정석적인 모양새를 갖추고 있다는 뜻이다. 하지만 코발트 스트라이크를 건너뛰고 곧바로 웹셸을 심는 경우도 있다고 한다.

“공격자들은 침해된 호라이즌 호스트에 여러 가지 페이로드들을 심고 있습니다. 아직까지 발견된 것이 다가 아닐 가능성이 높습니다.” 여러 가지인 이유는 공격자들이 IAB이기 때문일 가능성이 높다. 자신들은 구멍만 뚫어놓고, 들어가 악성 행위를 저지르는 건 IAB의 다양한 고객들일 수 있기 때문이다. 현재까지 발견된 바 그 고객들의 대다수는 암호화폐 채굴자들인 것으로 보인다.

“한편 최초 침투 브로커들에게서 접근 권한을 사서 또 다른 백도어를 심는 경우들도 있습니다. 백도어를 통해 좀 더 정교한 표적 공격을 할 수도 있고, 장기간 정보를 빼돌릴 수도 있으며, 랜섬웨어 피해를 극대화 하는 것도 가능합니다. 즉 백도어가 심긴 경우에는 공격자들의 궁극적 목적을 아직 다 알 수 없다는 것입니다.”

이에 소포스는 VM웨어 호라이즌 서버 사용 기업들이라면 반드시 전체 점검을 실시해서 로그4j 취약점을 찾아내고 패치해야 한다고 강조했다. 또한 수상한 요소들이 잠입해 들어와 있지 않은지도 확인해야 한다고 밝혔다. “패치를 한다고 해서 취약점을 통해 이미 들어와 있던 악성 코드가 사라지는 건 아닙니다. 그러므로 패치도 하고 점검도 해야 합니다.”

3줄 요약
1. VM웨어 호라이즌 서버의 로그4셸 취약점 공략하려는 시도 급증.
2. 아직까지는 접근 브로커들의 행위로 보이고, 이들로부터 추가 공격이 실시되는 것도 가능.
3. 현재 침해된 호라이즌 서버에 심기는 건 암호화폐 채굴 코드와 백도어.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)