70여 개 마이크로소프트 익스체인지 서버, 로그인 페이지에 키로거 삽입돼 사용자 인증정보 탈취 외 1건

요약	- 전 세계 26개국, 최소 70여 개의 온프레미스 Microsoft Exchange 서버가 정체불명의 공격자에 의해 침해 - 아웃룩 웹 액세스(OWA)의 로그인 페이지에 자바스크립트 기반 키로거를 삽입해 정보 탈취
내용	- 러시아 보안 기업 Positive Technologies > 해당 공격 캠페인은 24.05 최초 발견 이후 지금까지도 지속 (최초 침해 시점은 21년) > 베트남, 러시아, 대만, 중국, 파키스탄 등 국가 및 정부 기관, IT, 산업, 물류 분야 기업 등 침해 ① 두 가지 방식의 키로거, 로그인 정보 수집이 목적 > OWA 로그인 페이지의 정상 스크립트 ‘clkLgn’ 핸들러 내부에 삽입된 두 가지 악성 자바스크립트 코드 발견 > 로컬 저장형 키로거  ⒜ 사용자명, 비밀번호, 쿠키, User-Agent, 타임스탬프를 수집해 Exchange 서버 내부의 텍스트 파일에 저장  ⒝ 외부 네트워크로의 트래픽이 없기 때문에 탐지 가능성이 매우 낮음 > 원격 전송형 키로거  ⒜ 수집된 로그인 정보를 실시간으로 외부로 전송  ⒝ Telegram Bot이나 HTTPS POST 요청, DNS 터널링 기법을 활용해 정보 수집  ⒞ 로그인 정보는 APIKey 및 AuthToken 헤더에 인코딩되어 전송 ② 패치가 완료된 구형 취약점들 여전히 공격에 사용 > ProxyLogon 시리즈 (CVE-2021-26855, 26857, 26858, 27065) > ProxyShell 시리즈 (CVE-2021-34473, 34523, 31207) > Exchange RCE 취약점 (CVE-2021-31206) > SMBGhost (CVE-2020-0796) > IIS 보안 우회 취약점 (CVE-2014-4078) > 일부 취약점은 패치가 제공되었으나 여전히 수많은 서버가 해당 취약점에 노출되어 방치 > 조직 내 서버에 침투한 뒤, 인증 페이지에 악성 코드를 삽입함으로써 수개월 동안 탐지되지 않고 사용자 정보를 수집 > 공격을 탐지하기 위한 YARA 룰과 수정된 파일 경로 정보를 함께 공개 - 전문가들 > 즉시 패치 적용 : 익스체인지 서버를 최신 누적 업데이트 상태로 유지하고, IIS 및 윈도우 서버 보안 패치도 반드시 반영 > 무결성 점검 : OWA 관련 *.aspx 파일과 스크립트 파일 전체를 기준 파일과 비교해 <script> 삽입 여부 확인 > 네트워크 분리 및 MFA 적용 : Exchange 서버의 외부 노출을 최소화하고, VPN이나 리버스 프록시를 통해 접근을 제한하며, 모든 OWA 계정에 다중인증(MFA)을 적용 > WAF 및 EDR 도입 : 웹 애플리케이션 방화벽(WAF)을 통해 스크립트 이상 행위를 감지하고, 엔드포인트 탐지 및 대응(EDR) 솔루션을 통해 서버 내 의심스러운 파일 생성 행위를 모니터링
기타	- 지속적인 취약점 관리 체계를 마련하는 것이 중요하다고 강조 > 인증 페이지에 발생한 사소한 변경 사항이라도 반드시 포렌식 조사를 통해 확인 > 가능하다면 인증 시스템을 마이크로소프트의 클라우드 기반 Exchange Online으로 이전 > 보안 게이트웨이 뒤에 위치시키는 등의 근본적인 접근 방식 변경이 필요 > 운영 중인 온프레미스 서버를 방치한 채 방어체계를 강화했다고 착각하는 일이 없어야 한다고 경고

 

보안뉴스

70여 개 마이크로소프트 익스체인지 서버, 로그인 페이지에 키로거 삽입돼 사용자 인증정보 탈취

Positive Technologies