Apache ActiveMQ 서버가 TellYouThePass 랜섬웨어 공격의 대상이 되고 있습니다. 이는 이전에 제로데이로 악용되었던 중요한 원격 코드 실행(RCE) 취약점을 노리는 공격입니다. 이 취약점은 CVE-2023-46604로 추적되며, 인증되지 않은 공격자가 취약한 서버에서 임의의 쉘 명령을 실행할 수 있게 하는 ActiveMQ의 최고 심각도 버그입니다. Apache는 10월 27일에 이 취약점을 수정하는 보안 업데이트를 발표했지만, ArcticWolf와 Huntress Labs는 적어도 10월 10일부터 이를 제로데이로 악용하여 SparkRAT 악성 코드를 배포하는 위협 행위자들이 있다는 것을 발견했습니다.

현재 ShadowServer의 위협 모니터링 서비스 데이터에 따르면, 온라인에 노출된 Apache ActiveMQ 서버는 9,200대 이상이며, 이 중 4,770대 이상이 CVE-2023-46604 취약점을 악용할 수 있습니다. Apache ActiveMQ는 엔터프라이즈 환경에서 메시지 브로커로 사용되므로, 보안 업데이트 적용은 시간이 매우 중요하다. 관리자들은 취약한 시스템을 즉시 패치하도록 권장되며, ActiveMQ 버전 5.15.16, 5.16.7, 5.17.6, 5.18.3로 업그레이드해야 합니다.

Apache가 이 중요한 ActiveMQ 취약점을 패치한 지 일주일 후, Huntress Labs와 Rapid7은 공격자들이 이 버그를 악용하여 고객 네트워크에 HelloKitty 랜섬웨어 페이로드를 배포하는 것을 발견했습니다. 이 공격은 Apache가 보안 패치를 발표한 지 며칠 후인 10월 27일에 시작되었습니다. Arctic Wolf Labs는 하루 후에 발표한 보고서에서, CVE-2023-46604 취약점을 적극적으로 악용하는 위협 행위자들이 이를 Linux 시스템을 공격하고 TellYouThePass 랜섬웨어를 푸시하는 초기 접근에도 사용한다고 밝혔습니다.

요약

- Apache ActiveMQ 서버가 TellYouThePass 랜섬웨어 공격의 대상이 되고 있으며, 이는 이전에 제로데이로 악용되었던 중요한 원격 코드 실행(RCE) 취약점을 노리는 공격이다.
- 현재 온라인에 노출된 Apache ActiveMQ 서버는 9,200대 이상이며, 이 중 4,770대 이상이 CVE-2023-46604 취약점을 악용할 수 있다.
- Apache ActiveMQ는 엔터프라이즈 환경에서 메시지 브로커로 사용되므로, 보안 업데이트 적용은 시간이 매우 중요하다.
- Apache가 이 중요한 ActiveMQ 취약점을 패치한 지 일주일 후, 공격자들이 이 버그를 악용하여 고객 네트워크에 HelloKitty 랜섬웨어 페이로드를 배포하는 것을 발견했다.
- CVE-2023-46604 취약점을 적극적으로 악용하는 위협 행위자들이 이를 Linux 시스템을 공격하고 TellYouThePass 랜섬웨어를 푸시하는 초기 접근에도 사용한다.

Reference

https://www.bleepingcomputer.com/news/security/tellyouthepass-ransomware-joins-apache-activemq-rce-attacks/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*