Home > 전체기사

[긴급] 카세야 취약점 패치하라고? ‘MS 보안패치’ 사칭 메일 유포

  |  입력 : 2021-07-07 17:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카세야 취약점 패치했다는 MS 보안패치 사칭 악성 메일... 첨부파일 실행하면 사용자 정보 탈취해

[보안뉴스 원병철 기자] 전 세계를 뒤흔들고 있는 카세야(Kaseya) 취약점 이슈를 노린 2차 공격이 시작됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 카세야를 공격한 레빌 랜섬웨어가 악용한 취약점을 패치해 준다는 ‘MS 사칭 보안패치 메일’이 유포되고 있다고 밝혔다.

▲유포 중인 악성메일[자료=ESRC]


지난 7월 2일, 레빌 랜섬웨어 해킹 조직이 미국 IT관리용 솔루션 제공 업체인 카세야의 VSA(원격 모니터링 및 관리 소프트웨어) 서버의 제로데이 취약점을 통해 랜섬웨어를 유포, 전 세계에서 약 1,500명의 피해자가 발생했다. 이러한 틈을 타 레빌 랜섬웨어가 악용한 취약점의 패치로 위장한 악성 메일이 유포 중에 있어 사용자들의 주의가 요구된다.

현재 유포되고 있는 악성 메일은 레빌 랜섬웨어가 카세야를 공격하는데 악용한 취약점의 MS 보안 패치로 위장하고 있다. 악성 메일에는 MS 보안 업데이트를 하라는 내용과 함께 링크가 포함되어 있다. 포함되어 있는 URL은 카세야 보안 패치처럼 보이지만, 실제로 링크를 클릭하면 공격자가 설정해 놓은 특정한 서버로 접속하여 SecurityUpdates 이름을 가진 악성 실행 파일을 내려 받는다. 악성 파일이 실행되면 명령제어(C&C) 서버에 접속해 감염 PC 정보를 전송한 후, 명령제어 기능을 수행하는 것으로 분석됐다.

한편, 카세야 VSA를 공략한 레빌 랜섬웨어 공격자들은 VSA의 업데이트나 공급망을 노린 게 아니라 제로데이 취약점을 익스플로잇 한 것이며, 모든 고객들을 효율적으로 한꺼번에 감염시킨 게 아니라 취약점을 인터넷에 노출시킨 일부 고객들만 익스플로잇 한 것이라는 시나리오에 무게가 실리고 있다.

아울러 이번 공격에서 핵심적인 역할을 한 취약점은 두 가지로 좁혀지고 있다. 하나는 사고 이전부터 카세야 측이 알고 있었던 CVE-2021-30116이며, 다른 하나는 보안 업체 헌트레스 랩스(Huntress Labs)가 발견한 제로데이 취약점인데, 이 취약점이 CVE-2021-30116일 가능성도 제기되고 있다. 정확한 비교 분석 결과는 나오지 않은 상태다. 다만 헌트레스 측은 이 취약점이 임의 파일 업로드와 코드 주입을 가능케 하는 것이라며 이번 공격에 악용됐을 가능성이 대단히 높다고 발표했다. 아울러 카세야 측은 패치 개발에 박차를 가하고 있는 것으로 알려졌다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)