록빗(Lockbit) 랜섬웨어 집단이 랜섬웨어를 배포하기 위해 마이크로소프트 익스체인지(Microsoft Exchange) 서버를 공격하고 있다.
사이버 보안 기업 안랩은 록빗이 손상된 MS 익스체인지 서버를 통해 랜섬웨어를 배포하고 있다고 보고했다.
2022년 7월 안랩이 운영하는 서버 2대가 록빗 3.0 랜섬웨어에 감염됐다. 해커는 처음에 손상된 익스체인지 서버에 웹셸을 배포한 후 네트워크에서 호스팅되는 시스템을 암호화하기 전에 Active Directory 관리자에게 권한을 주여해 약 1.3TB의 데이터를 훔쳤다.
안랩 연구원에 따르면, 해커는 익스체인지 서버의 제로데이 취약점을 악용했다.
안랩 연구원은 보고서를 통해 “취약점 내역을 보면, 권한 상승 취약점은 2022년 2월에 공개됐다. 또한 가장 최근 취약점은 6월 27일에 알려졌다. 이는 즉 5월 이후 공개된 취약점 중 원격 명령이나 파일 생성과 관련된 취약점에 대한 보고는 없었다는 것이다. 따라서 7월 21일에 웹셸이 생성된 점을 감안할 때 해커가 공개되지 않은 제로데이 취약점을 악용했을 가능성이 높다”라고 설명했다.
한편, 보안 취약점 연구원 Will Dormann은 보고서를 통해 새로운 제로데이 취약점을 악용한 증거가 포함되어 있지 않다고 말했다.
또 다른 보안 취약점 연구원 Piotr Bazydlo은 발견한 익스체인지 서버의 3가지 취약점이 아직 패치되지 않았다고 지적하기도 했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
