[기사 분석] 보안뉴스_초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러

제목 : 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러

 

기사 요약

사고 배경

처음 무브잇 침해 사건이 발생했을 때 마이크로소프트(Microsoft)의 보안 전문가들은 배후 세력을 레이스템피스트(Lace Tempest)라고 명명하며, “클롭 랜섬웨어 집단이 사용하는 협박용 웹사이트를 이용하는 그룹”이라고 설명했다 (2023.06.04)

이틀 뒤인 6일에 클롭 랜섬웨어 공격자들이 직접 무브잇 제품을 사용하는 기업들에게 데이터를 대량으로 가져갔음을 알렸다. 클롭은 무브잇의 개발사인 Progress Software의 패치노트나 취약점 정보를 통해 SQL 주입 취약점이 있었는지를 확인한다. 만약 취약한 버전이 있었다면 취약한 버전과 패치가 적용된 버전을 비교하여 어떠한 변화가 있었는지 확인하고 공격한다.

 

사고 원인

사용된 무브잇 취약점 : CVE-2023-34362

익스플로잇 기법 : SQL injection 공격(API 토큰을 훔치고 웹셸(LEMURLOOT)을 업로드)

 

 

 클롭은 SQL 주입 공격을 통해 사용자인 것처럼 위장하고 파일을 외부로 빼돌리고 멀웨어를 업로드한다. 무브잇이 설치된 환경들에서 이러한 행위들을 반복했다. 

 

현재 상황

무브잇 취약점 관련 사건이 퍼지면서 다크웹에서는 클롭이 훔친 데이터와 익스플로잇 기법을 알아내려하고 있다. 클롭은 현재 데이터를 판매하고 있지 않고 있으며, 익스플로잇 기법에 대해서도 공개하지 않고 있다. 또한 6월 14일에 협상에 실패한 기업들의 이름을 공개할 것이며, 그때가 되면 클롭 그룹의 공격의도를 알 수 있을 것이라 보고 이싿.

 

추가 조사 부분

- 무브잇 취약점은 제로 데이 취약점인가?

- 클롭에게 공격당한 기업들은 SQL 주입 취약점에 취약한 무브잇 버전을 사용한 것인가?

- SQL injection 공격 추가 조사

- 웹셸 LEMURLOOT에 대해 조사

- 클롭 랜섬웨어 그룹 조사

- 일본 대형 제약 회사 에자이도 랜섬웨어 공격을 당한 것으로 오늘 기사가 나왔다. 현재 자세한 정보는 알려지지 않았으나 무브잇 취약점을 이용한 클롭 조직의 공격 시기와 매우 비슷한데  클롭 조직에게 공격당한 것은 아닐지

 

 

기사의 내용은 보안뉴스 기사의 내을 요약한 것이기에 사고 배경, 원인 정도로만 요약하였다. 이와 관련된 개념들은이 글을 참고하면 된다.

 

 

 

SQL injection은 정말 오래된 공격이지만 그럼에도 아직까지 강력한 공격이다. 데이터 베이스를 사용하는 한 SQL injection 공격에서 벗어날 수는 없는 것일까? 가장 간단하지만 가장 강력한 공격인 것이라는 점이 무서운 것 같다.