[보안뉴스 문가용 기자] 마이크로소프트의 익스체인지 서버(Exchange Server)에서 제로데이 취약점이 4개 발견됐고, MS는 “하프늄(Ahfnium)이라고 하는 중국의 APT 단체가 이를 익스플로잇 해 여러 사용자 조직들을 공격하고 있다”고 하며 빠르게 패치를 발표했다. 그러면서 사용자들에게도 조속히 패치를 적용하는 것이 안전하다고 촉구했다.
[이미지 = utoimage]
이에 여러 보안 전문가들이 추적을 시작했고 새로운 사실들이 추가적으로 밝혀지기도 했다. 먼저 하프늄의 캠페인은 최소 올해 1월 6일부터 시작된 것으로 보인다고 보안 업체 볼렉시티(Volexity)는 설명했다. 당시 볼렉시티는 고객사의 익스체인지 서버에서 수상한 점이 탐지됐었다고 한다.
“실제 사용자의 것이 아닌 것으로 보이는 IP 주소들로 대량의 정보가 전송되고 있었습니다. 이미지, 자바스크립트, CSS, 폰트와 관련된 파일들에 대한 인바운드 POST 요청들 때문이라는 것을 알아냈고, 이 요청을 추적한 결과 제로데이 취약점이 익스플로잇 되었다는 걸 알 수 있었습니다. 그것도 여러 개의 제로데이가 연쇄적으로 익스플로잇 되고 있다는 것을요.”
볼렉시티는 이를 마이크로소프트에 알렸다. 하지만 2월, 원격 코드 실행 공격 사례가 다수 발견되기 시작했다. 공격자들이 피해자들의 디스크에 웹셸을 생성하고 있었던 것이었다. 이를 통해 공격자들은 크리덴셜들을 훔쳐내거나 사용자 계정을 추가하고, 액티브 디렉토리 데이터베이스의 복사본을 훔쳐내는 등의 악성 행위를 할 수 있었다. 당연히 피해자 네트워크에서 횡적으로 움직이기도 했다.
이런 공격은 최근까지만 하더라도 ‘조용히’, ‘제한적으로만’ 발생했었다. 즉 특정 대상들만을 노리는 ‘표적 공격’의 특징을 가지고 있었던 것이다. 이 때문에 MS도 피해 규모가 크지 않다는 식으로 발표했었다. 하지만 이번 주말즈음부터 공격자들은 갑작스럽게 활동량을 늘렸다. 원격 코드 실행을 통한 웹셸 생성 활동이 여기 저기서 발견되기 시작했다. 이유는 아직 정확히 파악되지 않고 있다.
MS는 이 캠페인이 하프늄이라는 중국 APT 단체의 소행이라고 보고 있는데, 벨로시티 측은 “한 개 이상의 공격 단체가 연루되었을 가능성이 높다”고 보고 있다. “여러 공격 전략이 눈에 띄는데, 한 조직이 다채로운 공격 기법을 활용하고 있다기보다 여러 조직이 동시에 움직이고 있는 것에 가까울 것으로 예상됩니다.”
또 다른 보안 업체 헌트레스랩스(Huntress Labs)도 이 사건과 관련된 활동이 대단히 왕성해졌다고 발표했다. “공격자들은 윈도의 명령행 도구를 사용하기도 하고, 관리자 계정을 더하거나 빼기도 했으며, 프로세스 메모리에 저장된 크리덴셜과 해시들을 확보하기도 했습니다. 이런 공격 행위들로 노이즈가 심하게 발생했기 때문에 못 알아채기가 힘들 정도였고요. 공격자는 스스로의 악성 행위를 감추는 것에 큰 관심이 없었던 것으로 보입니다.”
결국 MS의 발표처럼 ‘은밀하고 조용한’ 공격이 초반에 이뤄졌다고 하더라도, 점점 규모가 크고 시끄러워지는 방향으로 공격이 변하고 있다는 것이 지금의 상황이다. 헌트레스 측은 “공격자들이 인터넷을 스캔해 취약한 엔드포인트들을 마구잡이로 찾아내 공격을 시도하는 것처럼 보인다”고 설명한다. “저희가 2천여 개의 익스체인지 서버들을 확인했을 때 400개 정도의 취약점이 나왔습니다. ‘잠재적 위험성’을 갖춘 서버도 100개 정도 있었고요. 이미 침해된 조직은 200곳 정도가 되며, 공격에 사용된 웹셸은 350개가 넘습니다.”
헌트레스 측에 따르면 소규모 호텔 몇 군데, 식기 및 부엌 장비 생산 업체, 아이스크림 회사, 고령층 커뮤니티가 현재 침해된 것으로 밝혀졌다고 한다. 하지만 공격자들이 실제 관심을 가 지고 노린 곳은 정부 기관, 의료 기관, 은행 등의 금융 기관, 전기 공급 시설인 것으로 보인다고 한다. 즉, 이런 곳을 겨냥한 공격이 앞으로 이어질 수 있다는 뜻이다. 이에 미 국토안보부 산하 CISA가 온프레미스 마이크로소프트 익스체인지 서버를 업데이트 하라고 모든 연방 조직들에 명령을 내리기도 했다.
3줄 요약
1. MS의 익스체인지 서버에서 발견된 제로데이 취약점 네 개, 시급한 패치 요구됨.
2. 여러 공격 단체가 이 제로데이를 익스플로잇 할 가능성이 제기되고 있기 때문.
3. 게다가 공격이 폭발적으로 늘어나, 이제 누구라도 피해자가 될 수 있는 상황.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>