[긴급] 카세야 취약점 패치하라고? ‘MS 보안패치’ 사칭 메일 유포

카세야 취약점 패치했다는 MS 보안패치 사칭 악성 메일... 첨부파일 실행하면 사용자 정보 탈취해

[보안뉴스 원병철 기자] 전 세계를 뒤흔들고 있는 카세야(Kaseya) 취약점 이슈를 노린 2차 공격이 시작됐다. 이스트시큐리티 시큐리티대응센터(이하 ESRC)는 카세야를 공격한 레빌 랜섬웨어가 악용한 취약점을 패치해 준다는 ‘MS 사칭 보안패치 메일’이 유포되고 있다고 밝혔다.

▲유포 중인 악성메일[자료=ESRC]

지난 7월 2일, 레빌 랜섬웨어 해킹 조직이 미국 IT관리용 솔루션 제공 업체인 카세야의 VSA(원격 모니터링 및 관리 소프트웨어) 서버의 제로데이 취약점을 통해 랜섬웨어를 유포, 전 세계에서 약 1,500명의 피해자가 발생했다. 이러한 틈을 타 레빌 랜섬웨어가 악용한 취약점의 패치로 위장한 악성 메일이 유포 중에 있어 사용자들의 주의가 요구된다.

현재 유포되고 있는 악성 메일은 레빌 랜섬웨어가 카세야를 공격하는데 악용한 취약점의 MS 보안 패치로 위장하고 있다. 악성 메일에는 MS 보안 업데이트를 하라는 내용과 함께 링크가 포함되어 있다. 포함되어 있는 URL은 카세야 보안 패치처럼 보이지만, 실제로 링크를 클릭하면 공격자가 설정해 놓은 특정한 서버로 접속하여 SecurityUpdates 이름을 가진 악성 실행 파일을 내려 받는다. 악성 파일이 실행되면 명령제어(C&C) 서버에 접속해 감염 PC 정보를 전송한 후, 명령제어 기능을 수행하는 것으로 분석됐다.

한편, 카세야 VSA를 공략한 레빌 랜섬웨어 공격자들은 VSA의 업데이트나 공급망을 노린 게 아니라 제로데이 취약점을 익스플로잇 한 것이며, 모든 고객들을 효율적으로 한꺼번에 감염시킨 게 아니라 취약점을 인터넷에 노출시킨 일부 고객들만 익스플로잇 한 것이라는 시나리오에 무게가 실리고 있다.

아울러 이번 공격에서 핵심적인 역할을 한 취약점은 두 가지로 좁혀지고 있다. 하나는 사고 이전부터 카세야 측이 알고 있었던 CVE-2021-30116이며, 다른 하나는 보안 업체 헌트레스 랩스(Huntress Labs)가 발견한 제로데이 취약점인데, 이 취약점이 CVE-2021-30116일 가능성도 제기되고 있다. 정확한 비교 분석 결과는 나오지 않은 상태다. 다만 헌트레스 측은 이 취약점이 임의 파일 업로드와 코드 주입을 가능케 하는 것이라며 이번 공격에 악용됐을 가능성이 대단히 높다고 발표했다. 아울러 카세야 측은 패치 개발에 박차를 가하고 있는 것으로 알려졌다.
[원병철 기자(boanone@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)