돈벌이를 목적으로 한 해킹그룹이 마이크로소프트 SQL(MSSQL) 서버를 겨냥한 글로벌 사이버 공격을 시작했다. "RE#TURGENCE" 캠페인이라고 불리는 이 공격은 유럽연합, 미국, 라틴 아메리카의 시스템에 빠르게 침투해 악명 높은 Mimic(N3ww4v3) 랜섬웨어로 피해자의 파일을 암호화한 것으로 드러났다.

◆공격의 표적이 된 MSSQL 서버와 공격방법

해커들은 정교한 전략을 사용해 안전하지 않은 구성으로 MSSQL 데이터베이스 서버를 손상시켰다. 이들은 무차별 암호 대입 공격을 통해 취약점을 악용해 무단 액세스 권한을 탈취한다. 일단 내부에 침투하면 공격자는 관리 기능이 있는 도구인 xp_cmdshell 프로시저를 활용해 SQL 서버 서비스 계정의 보안 권한을 미러링하는 윈도우 명령 셸을 생성한다.

해커들은 파워쉘 스크립트와 인메모리 리플렉션 기술을 사용해 난독화된 코발트 스트라이크 멀웨어를 배포한다.

이 악성 멀웨어는 Windows 기본 프로세스 SndVol.exe에 주입되어 공격자가 손상된 시스템을 제어할 수 있도록 한다.

AnyDesk 원격 데스크톱 애플리케이션이 다운로드되고 서비스로 실행되어 감염된 서버에 대한 원격 액세스를 용이하게 한다.

로컬 네트워크와 윈도우 도메인을 스캔한 후 악명 높은 Mimikatz 도구를 사용해 일반 텍스트 자격 증명을 추출한다.

공격자는 탈취한 자격 증명을 사용해 네트워크의 다른 디바이스를 손상시키고 궁극적으로 도메인 컨트롤러를 공격한다.

약 한 달 동안 피해자의 네트워크를 꼼꼼하게 탐색한 후 해커들은 미믹 랜섬웨어를 배포한다. 이 교활한 멀웨어는 파일을 암호화해 사용자가 파일에 액세스할 수 없게 만든다. 이 랜섬웨어는 또한 피해자에게 이메일을 통해 위협 행위자에게 연락하라는 메시지를 보내며 몸값을 지불하라는 알람을 보낸다.

이를 대비하기 위해 조직은 MSSQL 서버를 안전하게 구성해 잠재적 취약성에 대한 노출을 제한하는 것이 필요하다.

또 공격자가 선호하는 기법인 원격 코드 실행 시도를 차단하려면 xp_cmdshell를 비활성화하는 것이 중요하다.

특히 VPN(가상 사설망) 사용과 같은 보안 인프라 관행을 구현해 중요한 서버가 인터넷에 직접 노출되지 않도록 보호하는 것이 필요하다. 그리고 엔드포인트와 서버에서 프로세스 수준 로깅을 활성화해 위협 탐지와 사전 예방적 위협 헌팅을 위한 위협 원격 측정 프로세스를 강화하는 것이 필요하다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★