잉카인터넷 시큐리티대응센터 블로그

최근, 랜섬웨어 조직에서 ESXi 인증 우회 취약점을 악용하는 정황이 발견됐다. Microsoft 측은 CVE-2024-37085로 번호가 매겨진 ESXi 하이퍼바이저 인증 우회 취약점에 대한 보고서를 공개했다. 공격자가 해당 취약점으로 “ESX Admins” 그룹과 사용자를 생성하면, ESXi 하이퍼바이저의 모든 관리 권한을 획득할 수 있다고 언급했다. 또한, 현재까지 “Akira”와 “BlackBasta” 조직에서 해당 취약점을 공격에 사용한 정황이 발견됐다고 덧붙였다. 이에 대해 VMware에서 발표한 보안 업데이트 적용을 권장하며 조직의 네트워크를 보호하는 지침을 안내했다. 한편, CISA 측은 알려진 악용 취약점 카탈로그에 CVE-2024-37085를 추가했으며, 악의적인 공격 경로로 사용될 가..

Vmware ESXi 서버를 대상으로 파일을 암호화하는 “BlackBasta” 랜섬웨어가 발견됐다. 올해 초에 처음 등장한“BlackBasta” 랜섬웨어는 RaaS(Ransomware-as-a-Service)로 운영되고 있으며, 미국, 유럽 및 아시아 등의 기업을 대상으로 한 공격에 주로 사용됐다고 알려졌다. 또한, 최근에는 리눅스 버전을 제작해 공격 범위를 확대하고 있다. 해당 랜섬웨어의 리눅스 버전은 Vmware ESXi 서버에서 가상 머신 등의 저장 목적으로 사용하는 VMFS 데이터 저장소 경로인 ‘/vmfs/volumes’ 경로를 대상으로 암호화하며, “–forced” 인자를 사용해 암호화 경로를 지정할 수 있다. “BlackBasta” 랜섬웨어를 실행하면 ‘/vmfs/volumes’ 경로를 대상..