VMware ESXi 서버를 노리는 대규모 랜섬웨어 공격

ESXi Args 랜섬웨어 발발로 1,000대 이상의 서버에 영향

 

2월 3일, CERT-FR 은 ESXi Args 랜섬웨어를 배포하기 위해 VMware ESXi 서버를 대상으로 하는 랜섬웨어 공격에 대해 사용자에게 경고 했습니다. 이 보고서는 또한 TA(Threat Actors)가 CVE-2021-21974 로 추적된 2년 된 취약점을 활용한다고 밝혔 습니다. VMware에 따르면 ESXi70U1c-17325551 이전의 ESXi 버전 7.0, ESXi670-202102401-SG 이전의 6.7 및 ESXi650-202102101-SG 이전의 6.5에는 OpenSLP의 힙 오버플로우 취약점이 포함되어 있습니다. 포트 427에 액세스할 수 있는 ESXi 시스템과 동일한 네트워크에 있는 TA는 이 취약점을 악용하여 원격으로 코드를 실행할 수 있습니다.

온라인 스캐너는 또한 랜섬웨어 감염이 널리 퍼져 있으며 전 세계적으로 1000개에 가까운 서버를 감염시켰음을 보여줍니다. 이 랜섬웨어는 아래와 같이 대부분 프랑스에 영향을 미쳤으며 미국과 독일이 그 뒤를 이었습니다.

 

이 랜섬웨어 공격과 관련된 샘플에는 암호화를 담당하는 "encrypt.sh" 및 "encrypt"라는 두 개의 파일이 포함되어 있습니다. "encrypt.sh"는 암호화 프로세스를 시작하기 전에 여러 작업을 수행하고 "encrypt" ELF 실행 파일을 실행하여 파일을 암호화하는 쉘 스크립트입니다.

 

기술적 분석
셸 스크립트는 구성 파일 수정, 파일 암호화, 랜섬웨어 메모에 대한 지속성 설정, ESXi 서버에서 맬웨어 제거와 같은 다양한 작업을 수행합니다. 이 블로그는 셸 스크립트와 랜섬웨어 페이로드에 대한 기술적 통찰력을 제공합니다.

 

구성 파일 수정
Shell 스크립트는 먼저 " esxcli vm process list" 명령 을 사용하여 ESXi 서버에서 실행 중인 가상 머신의 구성 파일을 식별하고 가상 디스크 및 스왑 파일에 대한 경로를 수정합니다. 악성코드는 '.vmdk'를 '1.vmdk'로, '.vswp'를 '1.vswp'로 교체합니다. 구성 파일에서 파일 이름을 변경하여 랜섬웨어는 피해자가 암호화 후 원본 데이터를 찾고 복원하기 어렵게 만듭니다. 구성 파일을 변경한 후 셸 스크립트는 " kill -9 $(ps | grep vmx | awk '{print $2}') " 명령을 사용하여 ESXi 서버에서 .VMX 파일을 종료합니다.

파일 암호화
이제 악성 스크립트는 파일을 완전히 제어하여 암호화 프로세스를 시작합니다. 첫째, ESXi 서버에 있는 볼륨을 반복하고 ".vmdk", ".vmx", ".vmxf", ".vmsd", ".vmsn", ".vswp"를 포함한 특정 확장자를 가진 파일을 검색합니다 . , ".vmss", ".nvram" 및 ".vmem" 이 발견된 볼륨에 있습니다.

그런 다음 스크립트는 파일 크기를 계산하고 인수 파일 " public.pem "과 함께 Linux 바이너리 실행 파일 "encrypt"를 사용하여 파일을 암호화합니다 . “ public.pem ” 파일은 랜섬웨어가 파일 암호화에 사용할 키를 암호화하는 데 사용하는 RSA 공개 키입니다.

 

침해 지표(IOC)

10c3b6b03a9bf105d264a8e7f30dcab0a6c59a414529b0af0a6bd9f1d2984459

11b1b2375d9d840912cfd1f0d0d04d93ed0cddb0ae4ddb550a5b62cd044d6b66

 

참조https://blog.cyble.com/2023/02/06/massive-ransomware-attack-targets-vmware-esxi-servers/