Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Cring 랜섬웨어의 Fortinet VPN 장비 공격
작성일 2021-04-08 조회 982

새로운 랜섬웨어 변종 Cring은 Fortinet VPN에 영향을 미치는 취약점을 악용한다. 이 랜섬웨어는 기업 네트워크를 침해하고 암호화한다. 

 

 

 

 

 

Cring 랜섬웨어는 Crypt3r, Vjiszy1lo, Ghost, Phantom으로도 불리는데, 1월에 Amigo_A에 의해 발견되었고, 스위스 통신 제공 업체 Swisscom의 CSIRT팀에 의해 주목을 받았다.

 

Cring 랜섬웨어는 사용자 지정된 Mimikatz 샘플을 드롭한 다음 CobaltStrike가 초기 액세스 권한을 얻는다. 그리고 합법적인 Windows CertUtil 인증서 관리자를 사용해 랜섬웨어 페이로드를 다운로드하고 배포하여 보안 소프트웨어를 우회한다.

 

카스퍼 스키 연구원들이 오늘 발표한 보고서에 따르면 공격자들은 CVE-2018-13379 취약성에 대해 패치되지 않은, 인터넷에 노출된 Fortigate SSL VPN 서버를 악용하여 표적의 네트워크를 침해할 수 있다. Kaspersky 연구원은 "이러한 공격의 피해자는 유럽 국가의 산업 기업을 포함한다.”고 말했다.

 

 

 

Fortinet VPN 어플라이언스에서 Cring는 Mimikatz를 사용하여 Windows사용자 자격 증명을 탈취해 대상의 기업 네트워크를 우회하고 도메인 관리자 계정을 제어한다. 랜섬웨어 페이로드는 악성 PowerShell 스크립트를 사용하여 배포된 Cobalt Strike 위협 에뮬레이션 프레임 워크를 통해 피해자 네트워크에 있는 장치에 전달된다.

 

 

 

Cring ransomware attack flow

[ 그림1. Cring ransomware attack flow(kaspersky) ] 

 

 

 

Cring 랜섬웨어는 백업 파일을 제거하고 Microsoft Office 및 Oracle Database 프로세스를 종료한 후 강력한 암호화 알고리즘 (RSA-8192 + AES-128)을 사용하여 손상된 장치의 특정 파일만 암호화한다. 그런 다음 !!!!!readme.rtf 와 deReadMe!!!. txt라는 이름의 랜섬 노트를 드롭하여 피해자에게 네트워크가 암호화되었으며 암호 해독 키가 무기한 보관되지 않기 때문에 몸값을 지불해야한다고 경고한다.

 

피해자들은 ID-Ransomware 서비스를 사용하여 시스템이 Cring 랜섬웨어의 공격을 받았는지 확인할 수 있다. 지금까지 30개의 Cring랜섬웨어 샘플이 제출되었고, 1월 말 이후 하루에 최소 1개 이상이 제출되었다.

 

 

 

Cring ransomware activity

[ 그림2. Cring ransomware activity(ID-Ransomware) ]

 

 

 

악성 코드 샘플 해시, C2 서버 IP주소, 악성코드 호스팅 서버 주소를 포함한 침해 지표(IOC)는 카스퍼스키 보고서 끝 부분에서 확인할 수 있다.

 

연방 수사국(FBI)과 사이버 보안 및 인프라 보안국(CISA)은 이번 주 초 CVE-2018-13379공격에 취약한 Fortinet SSL VPN 어플라이언스를 스캔하는 지능형 지속적 위협 (APT) 행위자에 대해 경고했다. FBI와 CISA의 공동 자문에서는 CVE-2020-12812와 CVE-2019-5591에 대해 패치되지 않은 서버를 찾는 공격자들에 대해서도 경고한다.

 

Fortinet은 이번 주 초 BleepingComputer에 "고객의 보안을 최우선으로 생각한다. CVE-2018-13379는 2019년 5월에 해결 된 오래된 취약점이다. 고객이 그렇게하지 않은 경우 즉시 업그레이드 및 완화 조치를 구현할 것을 촉구한다." 라고 말했다. 

 

 

 

 

 

출처

 

https://www.bleepingcomputer.com/news/security/new-cring-ransomware-hits-unpatched-fortinet-vpn-devices/ 

https://www.bleepingcomputer.com/forums/t/741312/cring-ransomware-cring-support-topic/ 

https://ics-cert.kaspersky.com/reports/2021/04/07/vulnerability-in-fortigate-vpn-servers-is-exploited-in-cring-ransomware-attacks/

첨부파일 첨부파일이 없습니다.
태그 Cring  Fortinet VPN  Fortinet  CVE-2018-13379