오라클 피플소프트 서버, 샤이너헌터스 데이터 절도 공격에 해킹당해.
Source: Bleeping Computer
Oracle PeopleSoft 서버가 ShinyHunters 갈취 조직이 진행하는 지속적인 데이터 절도 공격의 표적이 되고 있습니다. 이 조직은 100개가 넘는 조직으로부터 데이터를 탈취했다고 주장하고 있습니다.
PeopleSoft는 대규모 조직이 인사, 급여, 재무, 공급망 관리, 조달, 학생 행정 등 비즈니스 운영을 관리하기 위해 사용하는 기업용 비즈니스 소프트웨어 제품군입니다.
어제 BleepingComputer은 클라우드와 온프레미스 Oracle PeopleSoft 고객 인스턴스를 모두 노린 광범위한 데이터 절도 공격을 포착했습니다. 이 고객들은 ShinyHunters 갈취 조직이 서명한 갈취 요구서를 받고 있었습니다.
오늘, 위협 행위자는 BleepingComputer에 자신들이 공격을 주도하고 있다고 확인했으며, 100개가 넘는 조직의 300개 인스턴스에서 데이터를 탈취했다고 주장했습니다.
ShinyHunters는 오래된 취약점과 제로데이 취약점을 조합한 “가젯 체인”을 사용해 공격을 수행하고 있다고 말합니다. 다만, 이 공격이 모든 시스템에서 동작하는 것은 아니며, 인스턴스 설정 방식에 따라 성공 여부가 달라질 수 있다고 생각하고 있습니다.
BleepingComputer은 오늘 아침 Oracle에 연락해 Oracle PeopleSoft 제로데이가 데이터 절도 공격에 이용되고 있는지 여부를 문의했지만, 아직 회신을 받지 못했습니다.
위협 행위자에 따르면 이번 공격으로 영향을 받은 조직 대부분은 교육 부문에 속하며, 이전에도 이 조직에 의해 갈취당한 사례가 많다고 합니다.
그들은 초기 목표가 PeopleSoft를 운영 중인 FBI 포털을 침입해 “잘못 퍼지고 있는 오보에 대해 바로잡는 성명을 발표”하는 것이었다고 주장했습니다. 하지만 공격은 성공하지 못했고 인스턴스에 접근하지 못했다고 밝혔습니다.
위협 행위자는 Nottingham University가 이번 공격의 피해자이며, 해당 데이터가 이미 ShinyHunters 데이터 유출 사이트에 공개됐다고 BleepingComputer에 전했습니다. 대학 측도 오늘 성명을 발표해 사이버 보안 사고가 발생했음을 인정했습니다.
Oracle이 이번 공격에 대해 공개적으로 어떠한 정보도 밝히지는 않았지만, 사이버 보안 연구원 “Michael R”은 이번 공격과 관련된 도구가 포함된 여러 온라인 디렉터리를 발견했습니다.
“ShinyHunters(또는 이를 사칭하는 그룹)가 PeopleSoft(전사적 자원 관리 소프트웨어) 환경을 지속적으로 표적 삼고 있음을 보여주는 디렉터리를 공개했습니다,” 라고 연구원이 트윗했습니다.
“또한 MeshCentral 에이전트와 디페이스 및 자격 증명 스프레이 스크립트가 포함된 스테이징 자료도 확인되었습니다.”
연구원은 이번 공격과 관련된 IOC(Indicator of Compromise)로 다음 IP 주소들을 공유했습니다.
142.11.200[.]186
142.11.200[.]187
142.11.200[.]188
142.11.200[.]189
142.11.200[.]190
108.174.202[.]99
176.120.22[.]24이 중 일부 IP는 “azurenetfiles[.]net”이라는 공통 이름을 가진 TLS 인증서를 사용했으며, 이 도메인은 이전에 ShinyHunters 갈취 조직과 연관된 바 있습니다.
다섯 대의 서버에서는 .bash_history 파일이 노출되어 공격에 대한 몇 가지 단서를 제공했는데, 여기에는 침입된 내부 PeopleSoft 서버에 “README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT”라는 랜섬 노트를 생성하는 쉘 스크립트가 포함되어 있었습니다.
ShinyHunters 스크립트
Source: Michael R
이 스크립트는 /etc/hosts 파일을 파싱해 PeopleSoft 관련 시스템을 식별하고, ‘psoft’, ‘oracle’, ‘linuxadm’ 등 일반적인 PeopleSoft 및 Oracle 관리 계정을 사용해 SSH로 연결을 시도합니다.
비밀번호 인증에 실패하면 스크립트는 SSH 키 기반 인증을 대체 수단으로 사용합니다.
연결에 성공하면 스크립트는 PeopleSoft 웹 및 애플리케이션 서버와 연관된 디렉터리에 랜섬 노트를 배치합니다.
Oracle PeopleSoft를 운영 중이라면 위 IP 주소들로부터의 접속 로그를 분석해 해당 공격의 표적이 되었는지 여부를 반드시 확인하시기 바랍니다.
이러한 IOC가 발견될 경우, 조직은 즉시 사고 대응을 시작하고 PeopleSoft 인스턴스가 침해됐는지 조사해야 합니다. 또한 환경을 안전하게 검토하고 복구할 때까지 영향을 받은 서버를 일시적으로 인터넷 접근 차단 상태로 두는 것을 고려하십시오.
보안 팀은 성공적인 공격의 54%만을 기록하고, 그 중 14%만을 경보로 전환합니다. 나머지는 환경을 눈치채지 못한 채 이동합니다.
Picus 백서에서는 침해 및 공격 시뮬레이션이 SIEM과 EDR 규칙을 어떻게 테스트해 위협이 탐지되지 않고 넘어가는 것을 방지하는지 보여줍니다.