MOVEit 침해로 인해 노바스코샤 의료 직원 최대 100,000명의 데이터가 도난당했습니다.

Progress Software의 MOVEit 파일 전송 애플리케이션의 취약점으로 인해 Nova Scotia의 의료 부문에 종사하는 최소 100,000명의 직원에 대한 데이터가 도난당했다고 주정부가 화요일 밝혔습니다.

도난당한 데이터에는 Nova Scotia Health, 공공 서비스 및 주요 소아과 병원이자 외상 센터인 IWK Health Centre 직원의 사회 보험 번호, 주소 및 은행 정보가 포함됩니다.

지방에서는 급여 정보를 전송하기 위해 MOVEit을 사용합니다. 피해자에게 통보하기 시작했습니다.

Clop/Cl0p 랜섬웨어 집단은 BleepingComputer에 MOVEit Transfer 데이터 도난 공격의 배후에 있다고 밝혔습니다. Microsoft의 Defender Threat Intelligence 서비스를 실행하는 infosec 팀의 경우 Microsoft는 이 그룹을 Lace Tempest라고 부릅니다.

BBC에 따르면 다른 피해자로는 BBC, 영국항공(British Airways), 영국 약국 체인 부츠(Boots), 아일랜드 항공사 에어링구스(Aer Lingus) 등이 있다.

SQL 인젝션 제로데이 취약점은 5월 31일 Progress Software에 의해 발표되었습니다. Mandiant 연구원들은 악용의 최초 증거가 5월 27일에 발생하여 웹 셸 배포 및 데이터 도난이 발생했다고 생각합니다. 어떤 경우에는 웹 셸을 배포한 후 몇 분 안에 데이터가 도난당했다고 연구원들은 말합니다.

이 취약점은 CVE-2023-34362로 알려져 있습니다.

지난 2년 반 동안 해커들은 GoAnywhere MFT, IBM의 Apera Faspex 및 Accelion FTA를 포함한 파일 전송 애플리케이션의 허점을 악용했습니다.

많은 연구자들은 패치를 즉시 설치하지 않았거나 영향을 받지 않는 온프레미스 버전이나 클라우드 버전의 MOVEit을 사용하고 있는 IT 부서는 시스템이 손상되었다고 가정해야 한다고 말합니다.

Huntress Labs의 연구원들은 6월 1일 현재 Shodan 검색 엔진을 사용하여 웹을 검색한 결과 공개 인터넷에 공개적으로 사용 가능한 서버가 2,500개가 넘는 것으로 나타났다고 말했습니다.

Huntress 연구원들은 Meterpreter를 통해 셸 액세스를 수신하고 Windows의 NT AUTHORITY\SYSTEM으로 확대하고 Cl0p 랜섬웨어 페이로드를 폭발시킬 수 있는 익스플로잇을 만들었습니다. 연구원들은 “이는 인증되지 않은 공격자가 즉시 랜섬웨어를 배포하거나 다른 악의적인 작업을 수행하는 익스플로잇을 촉발할 수 있다는 것을 의미합니다.”라고 결론지었습니다. "악성 코드는 로컬 관리자 그룹에 있는 MOVEit 서비스 계정 사용자 moveitsvc에서 실행됩니다. 공격자는 바이러스 백신 보호를 비활성화하거나 다른 임의 코드 실행을 달성할 수 있습니다."

CrowdStrike의 연구원들은 공격자가 만든 웹셸이 권한 수준이 "30"인 기존 사용자 계정이나 무작위로 생성된 새로운 사용자 이름을 활용하여 MOVEit 애플리케이션 내에서 영구 세션을 설정한다고 밝혔습니다. 해당 블로그에는 infosec 팀이 가능한 손상을 조사하는 방법에 대한 지침이 있습니다.

WithSecure의 위협 인텔리전스 책임자인 Tim West는 도난당한 데이터가 사회 공학 공격이나 몸값을 위해 사용될 수 있다고 말했습니다. 그는 영국항공이 직원의 결제 정보가 도난당했다고 밝혔지만 조직에서는 대량의 데이터가 랜섬웨어로 유출되거나 유출 사이트에 업로드될 것으로 예상해야 한다고 지적했습니다.

경험이 풍부한 저널리스트와 블로거 팀은 IT 전문가와 사업 부문 임원을 대상으로 한 흥미로운 심층 인터뷰, 비디오 및 콘텐츠를 제공합니다.