랜섬웨어 그룹 'ShadowSyndicate'가 aiohttp Python 라이브러리의 디렉토리 순회 취약점인 CVE-2024-23334에 취약한 서버를 스캔하는 것이 관찰되었습니다. aiohttp는 Python의 비동기 I/O 프레임워크인 Asyncio 위에 구축된 오픈 소스 라이브러리로, 전통적인 스레드 기반 네트워킹 없이 대량의 동시 HTTP 요청을 처리합니다. 이 라이브러리는 여러 외부 API에서 데이터를 집계하는 고성능 웹 애플리케이션과 서비스를 구축하려는 기술 회사, 웹 개발자, 백엔드 엔지니어, 데이터 과학자들 사용됩니다.
2024년 1월 28일, aiohttp는 버전 3.9.2를 출시하여 aiohttp 3.9.1 및 이전 버전의 모든 버전에 영향을 미치는 고위험 경로 순회 결함인 CVE-2024-23334를 해결했습니다. 이 결함은 정적 경로에 대해 'follow_symlinks'가 'True'로 설정되어 서버의 정적 루트 디렉토리 외부의 파일에 대한 무단 접근을 허용하기 때문에 발생합니다. 2024년 2월 27일, 한 연구원이 GitHub에 CVE-2024-23334에 대한 PoC 공격 코드를 공개했고, 3월 초에는 YouTube에 단계별 공격 지침을 보여주는 상세한 비디오가 게시되었습니다.
Cyble의 위협 분석가들은 2024년 2월 29일부터 3월에 걸쳐 CVE-2024-23334를 대상으로 한 공격 시도를 포착했습니다. 이 스캔 시도는 5개의 IP 주소에서 시작되었으며, 그 중 하나는 2023년 9월에 Group-IB의 보고서에서 ShadowSyndicate 랜섬웨어 그룹과 연결된 것으로 태그되었습니다. ShadowSyndicate는 2022년 7월부터 활동한 기회주의적이고 재정적으로 동기를 가진 위협 행위자로, Quantum, Nokoyawa, BlackCat/ALPHV, Clop, Royal, Cactus, Play 등의 랜섬웨어 변종과 다양한 수준의 신뢰도를 가지고 연결되어 있습니다.
요약
- 랜섬웨어 그룹 'ShadowSyndicate'가 aiohttp Python 라이브러리의 디렉토리 순회 취약점인 CVE-2024-23334에 취약한 서버를 스캔하는 것이 관찰되었다.
- aiohttp는 2024년 1월 28일에 버전 3.9.2를 출시하여 이 취약점을 해결했다.
- Cyble의 위협 분석가들은 2024년 2월 29일부터 3월에 걸쳐 CVE-2024-23334를 대상으로 한 공격 시도를 포착했다.
- 이 스캔 시도는 5개의 IP 주소에서 시작되었으며, 그 중 하나는 ShadowSyndicate 랜섬웨어 그룹과 연결된 것으로 태그되었다.
- ShadowSyndicate는 2022년 7월부터 활동한 기회주의적이고 재정적으로 동기를 가진 위협 행위자로, 여러 랜섬웨어 종류와 연결되어 있다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.