Fog 및 Akira 랜섬웨어 운영자는 SonicWall VPN 계정을 통해 점점 더 기업 네트워크에 침입하고 있으며 위협 행위자는 중요한 SSL VPN 액세스 제어 결함인 CVE-2024-40766을 악용하는 것으로 추정됩니다.
SonicWall은 2024년 8월 말에 SonicOS 결함을 수정했으며, 약 일주일 후에 이미 악용이 활발히 진행되고 있다고 경고했습니다.
동시에 Arctic Wolf 보안 연구원들은 Akira 랜섬웨어 계열사가 이 결함을 활용하여 피해자 네트워크에 대한 초기 액세스 권한을 얻는 것을 목격했다고 보고했습니다.
Arctic Wolf의 새로운 보고서는 Akira와 Fog 랜섬웨어 작전이 SonicWall VPN 계정을 통한 네트워크 원격 액세스로 시작된 침입을 최소 30건 이상 수행했다고 경고했습니다.
이 사례 중 75%는 Akira와 연결되어 있으며 나머지는 Fog 랜섬웨어 작업과 관련이 있습니다.
흥미롭게도 두 위협 그룹은 인프라를 공유하는 것으로 보이며, 이는 이전에 Sophos가 문서화한 바와 같이 둘 사이의 비공식 협력이 지속되고 있음을 보여줍니다.
연구원들은 이 결함이 모든 경우에 사용되었다고 100% 확신하지는 않지만, 침해된 모든 엔드포인트는 패치되지 않은 오래된 버전을 실행하여 이에 취약했습니다.
대부분의 경우 침입 후 데이터 암호화까지 걸리는 시간은 10시간 정도로 짧았고, 가장 빠른 경우에는 1.5~2시간에 이르기도 했다.
이러한 공격 중 상당수에서 위협 행위자는 VPN/VPS를 통해 엔드포인트에 액세스하여 실제 IP 주소를 난독화했습니다.
Arctic Wolf는 패치되지 않은 엔드포인트를 운영하는 것 외에도 손상된 조직이 손상된 SSL VPN 계정에서 다단계 인증을 활성화하지 않았고 기본 포트 4433에서 서비스를 실행하지 않은 것으로 나타났습니다.
“방화벽 로그가 캡처된 침입에서 메시지 이벤트 ID 238(WAN 영역 원격 사용자 로그인 허용) 또는 메시지 이벤트 ID 1080(SSL VPN 영역 원격 사용자 로그인 허용)이 관찰되었습니다.”라고 Artic Wolf는 설명합니다.
“이 메시지 중 하나에 이어 로그인 및 IP 할당이 성공적으로 완료되었음을 나타내는 여러 SSL VPN INFO 로그 메시지(이벤트 ID 1079)가 있었습니다.”
후속 단계에서 위협 행위자는 주로 가상 머신과 해당 백업을 표적으로 삼아 신속한 암호화 공격을 가했습니다.
침해된 시스템에서 발생한 데이터 절도에는 문서 및 독점 소프트웨어가 포함되었지만 위협 행위자는 6개월이 넘은 파일이나 보다 민감한 파일의 경우 30개월이 지난 파일에는 신경 쓰지 않았습니다.
2024년 5월에 출시된 Fog 랜섬웨어는 제휴사가 초기 액세스에 손상된 VPN 자격 증명을 사용하는 경향이 있는 공격으로 성장하고 있습니다.
BleepingComputer에서 관찰한 바와 같이 랜섬웨어 분야에서 훨씬 더 확고한 플레이어인 Akira는 최근 Tor 웹 사이트 액세스 문제를 겪었지만 이제 점차 온라인으로 돌아오고 있습니다.
10/28 업데이트: 일본 연구원 Yutaka Sejiyama는 현재 약 168,000개의 SonicWall 엔드포인트가 CVE-2024-40766에 취약하며 인터넷에 노출되어 있다고 보고했습니다.
Sejiyama는 또한 BleepingComputer에 Black Basta 랜섬웨어도 공격에 동일한 결함을 활용할 수 있다는 징후가 있다고 말했습니다.