MS 익스체인지 누가 먼저 차지하나 시합하는 사이버 공격자들

익스체인지 사태가 점점 끝 모를 결론으로 치닫고 있다. 아니, ‘결론’으로 치닫고 있으면 그나마 다행이다. 사실은 아직 발단 단계일지도 모른다. 지난 주에는 APT 공격자들을 주의하라는 경고가 나왔는데, 이번 주는 일반 사이버 범죄자들이 랜섬웨어까지 들고 나타났다.

[보안뉴스 문가용 기자] 최근 발생한 마이크로소프트 익스체인지 사태를 여러 사이버 범죄자들까지 이용하고 나섰다. 여태까지는 다양한 APT 조직들이 주로 이 공격 방법을 활용하는 것으로 여겨졌는데, 랜섬웨어까지 동반한 사이버 범죄자들마저 등장했다고 마이크로소프트가 경고했다. 특히 디어크라이(DearCry)라는 새 랜섬웨어에 주의하라고 MS는 강조했다.

[이미지 = utoimage]

MS는 3월 2일 4개의 패치를 긴급히 배포하며 “익스체인지 서버들에서 발견된 제로데이 취약점들을 연쇄적으로 익스플로잇하는 APT 단체의 공격에 주의하라”고 경고했었다. 익스플로잇에 성공할 경우 공격자들은 웹셸을 설치함으로써 추가 공격을 계속해서 이어갈 수 있게 되었다.

추가 공격은 데이터 탈취, 네트워크 모니터링, 멀웨어 설치 등이 있을 수 있는데, 최근 공격자들이 디어크라이라는 랜섬웨어를 추가 악성 행위로서 설치하기 시작했다. 이 공격에 취약한 건, MS의 패치를 아직 적용하지 않고 있는 사용자들이다.

디어크라이를 제일 먼저 발견한 건 랜섬웨어 전문가인 마이클 길스파이(Michael Gillespie)다. 지난 주 목요일, 길스파이가 운영하는 랜섬웨어 식별 웹사이트인 ID랜섬웨어(ID-Ransomware)에 물밀듯이 뭔가가 제출되기 시작하면서였다고 한다. 분석해 보니 파일을 암호화시키고, .CRYPT라는 확장자와 함께 DEARCRY!라는 문자열을 붙이는 랜섬웨어였다. 그래서 이름도 디어크라이라고 붙였다.

추가로 분석을 이어가니 랜섬웨어 공격자들은 마이크로소프트 익스체인지에서 발견된 네 가지 제로데이 취약점을 통해 전파되고 있었다. 이 취약점들은 합해서 프록시로그온(ProxyLogon)이라고 불리며, CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065라는 관리 번호가 붙였다. 공격자들은 피해자에게 1만 6천 달러를 요구한다고 외신은 블리핑컴퓨터가 밝혔다.

멀웨어헌터팀(MalwareHunterTeam)은 트위터를 통해 디어크라이에 당한 피해 조직들이 호주, 오스트리아, 캐나다, 덴마크, 미국에서 발견되고 있다고 주장했다. 아직까지는 그리 광범위하게 퍼지진 않은 사 ㅇ태라는 것이다. 3월 9일을 기준으로 바이러스토탈(VirusTotal)에 업로드 된 디어크라이 랜섬웨어 샘플은 총 세 가지다.

이처럼 MS 익스체인지를 겨냥한 공격의 수위는 갈수록 기하급수적으로 높아지고 있다고 보안 업계는 지난 주부터 계속해서 경고해 왔다. 보안 업체 이셋(ESET)의 경우 10개가 넘는 APT 단체들이 현재 이 취약점들을 익스플로잇 하려고 시도하는 중이라고도 밝혔다. 보안 업체 체크포인트(Check Point)는, 2~3시간마다 공격 시도 횟수가 2배로 증가한다는 통계를 내기도 했다.

익스체인지 공략 시도는 한 동안 이어질 전망이다. 패치가 나오긴 했지만 사용자들의 적용 속도가 매우 느리다는 걸 공격자가 잘 알고 있기 때문이다. 게다가 익스체인지 서버는 전 세계 곳곳에서 발견될 수 있을 정도로 광범위하게 사용되고 있는 솔루션이기도 하다. 그렇기 때문에 사용자들의 빠른 패치 적용이 필수적으로 요구되는 상황이다.

3줄 요약
1. 2~3시간마다 2배씩 늘어나는 익스체인지 겨냥 공격.
2. 이제는 새로운 랜섬웨어까지 등장. 디어크라이고 하며, 익스체인지 취약점 통해 감염 전파.
3. 공격자들은 이제 누가 먼저 취약한 서버 노리나 시합 중.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)