구글 맨디언트, 오라클 피플소프트 환경 관리 컴포넌트 취약점 악용 주의보
애저로 위장한 원격 제어 에이전트 심어 내부망 측면 이동, 데이터 탈취

[보안뉴스 조재호 기자] 구글 위협인텔리전스그룹(GTIG)이 유명 해킹 조직 샤이니헌터스(ShinyHunters)의 대규모 데이터 탈취 및 갈취 캠페인을 포착했다.



12일 구글 클라우드 공식 블로그에 따르면, 샤이니헌터스는 지난달 27일부터 9일까지 오라클 피플소프트(Oracle PeopleSoft) 애플리케이션 인프라를 겨냥해 공격을 벌였다.

이들은 오라클이 공식 패치를 발표하기 전 제로데이 상태에서 환경 관리 컴포넌트의 원격 코드 실행(RCE) 취약점을 악용했다. 이 취약점은 CVSS 9.8점의 최고 등급 위험도를 지닌 것으로 분류됐다.

GTIG는 취약점에 노출된 것으로 의심되는 글로벌 100여개 기관에 긴급 알림을 발송했다. 이중 68퍼센트가 미국 대학교 등 고등 교육기관인 것으로 집계됐다. 일부 기관은 즉각적 조치로 공격을 방어했으나, 방어에 실패한 기관들은 내부 데이터를 탈취당했다.

샤이니헌터스는 9일 다크웹에 탈취한 데이터를 공개했다.

분석 결과 해커들은 보안 탐지 회피를 위해 마이크로소프트 애저 서비스로 위장한 원격 관리 도구 ‘메쉬센트럴’(MeshCentral) 에이전트를 피해자 시스템에 설치했다. 이후 내부망에 침투한 해커들은 자동화된 전파 스크립트를 악용해 측면 이동을 시도했다.

이들은 로컬 호스트 파일에서 다른 서버의 이름을 추출해 사전에 탈취하거나 무차별 대입 공격으로 확보한 관리자 계정 정보를 악용, 내부 시스템을 장악해 나갔다. 장악한 서버에는 해킹 사실을 알리는 협박성 텍스트 파일을 남겼다. 유출 데이터는 고효율 압축 알고리즘으로 처리해 자신들의 다크웹 인프라로 전송했다.

GTIG 연구진은 “이번 사태는 원격에서 인증 없이 시스템을 장악할 수 있는 치명적 결함”이라며 “오라클 피플소프트를 운영 중인 기관은 즉시 환경 관리 허브(EMHub) 서비스를 비활성화하고 관련 시스템에 대한 외부 네트워크 접근을 전면 차단해야 한다”고 밝혔다. 이어 “침해 지표(IOC)를 바탕으로 비정상적 웹셸이나 위장 에이전트가 설치되지 않았는지 파일 시스템과 로그를 철저히 감사해야 한다”고 권고했다.


▲ 복구 및 강화 조치를 위한 가이드 [출처: 구글 클라우드]

[조재호 기자(zephyr@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>