Cring 랜섬웨어 운영자, 11년 Adobe ColdFusion 취약점 악용
몇 분 만에 알 수 없는 사이버 범죄 그룹이 Adobe ColdFusion의 오래된 버전이 설치된 서버에 원격으로 해킹되었습니다. 9 그리고 그것을 장악했다., 과 79 몇 시간 후 서버에 랜섬웨어 Cring 배포.
이름 없는 서비스 제공업체가 소유한 서버를 사용하여 급여에 대한 작업표 및 회계 데이터를 수집했습니다., 많은 가상 머신을 호스팅할 뿐만 아니라.
에 따라 정보보안 기업의 전문가들에게 소포스, 공격은 우크라이나 인터넷 제공업체의 인터넷 주소에서 수행되었습니다. 그린 플로이드.
소포스 선임연구원 앤드류 브란트 오래된 장치를 말합니다, 취약한 소프트웨어는 해커를 위한 간단한 정보입니다..
하나, 가장 놀라운 것은 11년 된 소프트웨어가 랜섬웨어의 공격을 받은 서버가 매일 활발하게 사용되었다는 사실입니다.. 대체적으로, 가장 취약한 것은 사용하지 않거나 잊어버린 장치입니다. “유령 기계”.
서버에 대한 초기 액세스 권한을 얻은 후, 공격자는 악성 파일을 숨기는 다양한 정교한 방법을 사용, 메모리에 코드 주입, 손상된 데이터로 파일을 덮어써 공격을 은폐. 게다가, 해커는 변조 방지 기능이 비활성화되었다는 사실을 이용하여 보안 솔루션을 비활성화했습니다..
특히, 공격자는 디렉토리 탐색 취약점을 악용했습니다. (CVE-2010-2861) 어도비 콜드퓨전에서 9.0.1 및 이전 관리 콘솔. 이 취약점은 임의 파일의 원격 읽기를 허용했습니다., 관리자 암호 해시가 포함된 파일 포함 (비밀번호.속성).
공격의 다음 단계에서, 해커는 ColdFusion의 이전 취약점을 악용했습니다. (CVE-2009-3960) 악성 캐스케이딩 스타일시트 업로드 (CSS) 공격받은 서버에 파일, Cobalt Strike Beacon 실행 파일을 차례로 다운로드했습니다..
