IOC:
141.98.9.4
45.77.101.240
http://anonfiles.com
http://104.238.187.145
http://dnslog.cn
http://4sync.com
http://45.77.101.240
206.125.147.98
192.53.123.202
http://141.98.9.4
http://
http://179.60.149.28
104.238.187.145
http://91.191.209.222
http://206.125.147.98
mastermailbox@outlook.com
servers@risk.it
91.191.209.222
http://192.53.123.202
179.60.149.28
요약:
작년 말, Sophos X-Ops은 Microsoft Exchange 서버를 대상으로 한 것으로 보이는 ProxyNotShell 공격 흐름을 이용한 공격을 받았으며, 이를 Microsoft 11월 초에 해결하려고 시도했습니다. 해당 패치는 CVE-2022-41080과 CVE-2022-41082 두 개의 취약점을 대상으로 했으며, 공격하면 취약한 시스템에서 원격 코드 실행이 발생할 수 있습니다.
12월 휴가 전, X-Ops의 MDR 팀은 Microsoft Exchange 서버에 대한 추가 공격 캠페인을 발견했으며, (거의) 동일한 두 개의 취약점을 이용하였습니다. 이어서 1월에는 RackSpace와 같은 고프로필 기관을 타격하는 활동이 지속되었으며, Hive 네트워크와 그 인프라가 박살되는 법정 작업이 끝났습니다. 이 네트워크는 지난해 PLAY 랜섬웨어와 관련되어 연결되었으며, 두 개의 취약점과 관련된 OWASSRF 기술을 사용합니다. 하지만, Cuba와 같은 추가적인 랜섬웨어 그룹이 취약점을 이용하고 있으며, 일부 보고서에서는 PLAY가 Quantum, SVCReady 및 Emotet 봇넷과 같은 다른 랜섬웨어 그룹과 공유하는 인프라를 가지고 있다고 제안합니다.
상황은 복잡하면서도 활발하였고, 1월 말에 미국 사이버 보안 및 인프라 보안 기관(CISA)은 연방 행정기관에 가용한 패치를 적용하도록 지시하고 다른 조직도 동일한 것을 강력히 권장하는 강력한 단계를 취했습니다.
내용:
–작년 말, Sophos X-Ops은 Microsoft Exchange 서버에 대한 취약점을 이용한 공격 흐름인 ProxyNotShell 공격이 발생하는 것으로 보였으며, 11월 초에 발표된 패치로 이를 시도하였습니다. 이번 패치는 CVE-2022-41080과 CVE-2022-41082 두 개의 취약점을 대상으로 하였으며, 공격을 당하면 취약한 시스템에서 원격 코드 실행이 가능합니다.
그러나 12월 휴가 전, X-Ops의 MDR 팀은 똑같은 두 개의 취약점을 이용하여 Microsoft Exchange 서버에 대한 추가적인 공격 캠페인을 발견하였으며, 이어서 지속적인 활동을 1월에 계속하였으며, RackSpace와 같은 고프로필 기관을 공격하였으며, Hive 네트워크와 그 인프라를 법정에 의한 제거하도록 지시하였습니다. 이 네트워크는 지난해 ProxyShell 공격과 비슷하기 때문에 "ProxyNotShell"라는 이름으로 업계 전체에서 지칭하고 있으며, 또한 PLAY 랜섬웨어와 관련된 OWASSRF 기술을 이용하는 Cuba 랜섬웨어 등 다른 랜섬웨어 엔티티도 발견되었으며, 일부 보고서에서는 PLAY가 Quantum 랜섬웨어 그룹과 SVCReady와 Emotet 봇넷과 같은 인프라를 공유하고 있다고 제안하고 있습니다.
상황은 복잡하면서도 활발하였고, 1월 말에는 미국 사이버 보안 및 인프라 보안 기관이 정부 기관에 해당하는 가능한 패치를 적용하도록 지시하고 다른 조직들에게도 강력하게 권장하였습니다.
이 글은 현재 공격과 관련된 지표들을 제공하며, 우리의 관찰 내용을 상세히 다루고 있습니다.
줄거리 : CVE-2022-41040과 CVE-2022-41082
Microsoft Exchange Server의 두 개의 취약점은 ProxyNotShell이 가능하게 한 것으로, 2022년 중반부터 실제 공격이 진행되었으며, 이를 업계 전체에서 "ProxyNotShell"이라고 명명하였습니다. 그러나 12월 휴가 전, X-Ops의 MDR 팀은 똑같은 두 개의 취약점을 이용하여 Microsoft Exchange 서버에 대한 추가적인 공격 캠페인을 발견하였으며, 이어서 지속적인 활동을 1월에 계속하였으며, RackSpace와 같은 고프로필 기관을 공격하였으며, Hive 네트워크와 그 인프라를 법정에 의한 제거하도록 지시하였습니다. 이 네트워크는 지난해 ProxyShell 공격과 비슷하기 때문에 "ProxyNotShell"라는 이름으로 업계 전체에서 지칭하고 있으며, 또한 PLAY 랜섬웨어와 관련된 OWASSRF 기술을 이.....
오와사스 전자 거래소 익스플로잇을 관찰하고 있으며... 아직도:
https://news.sophos.com/en-us/2023/03/15/observing-owassrf-exchange-exploitation-still/
'Security > News' 카테고리의 다른 글
자산 관리 솔루션(TCO!Stream) 취약점 주의 및 업데이트 권고 - ASEC BLOG 관련 IOC 5개 발견 (0) | 2023.03.18 |
---|---|
'야마봇' 마스터링 바이러스 사용 - 관련 IOC 8개 발견 (0) | 2023.03.17 |
주의 Xdr33, CIA의 HIVE 공격 키트의 변종이 등장 관련 IOC 10개 발견 (0) | 2023.03.17 |
헤드크랩 : 글로벌 캠페인에서 최첨단 레디스 메일웨어 관련 IOC 6개 발견 (0) | 2023.03.17 |
블랙테크가 이용한 F5 BIG-IP 취약점(CVE-2022-1388) 관련 IOC 8개 발견 (0) | 2023.03.17 |