사이버 공격자들이 로그4j(Log4Shell) 취약점을 악용해 지속적으로 랜섬웨어 공격을 진행하고 있어 각별한 주의가 요구된다.

중국 해커들이 운영하는 것으로 추정되는 나이트스카이(NightSky) 랜섬웨어가 Log4j 라이브러리의 Log4Shell 취약점(CVE-2021-44228)을 악용해 VMware Horizon 시스템에 접근하기 시작한 것으로 분석됐다.

시큐리티어페어스 보도에 따르면, 나이트 스카이 랜섬웨어 그룹이 2021년 12월 27일 활동을 개시했고, 방글라데시와 일본의 두 개 기업 네트워크를 해킹한 것으로 조사됐다. 이미 이들은 토르 브라우저를 활용해 탈취한 파일들을 공개할 준비도 마쳤다고 전했다.

이들 랜섬웨어 갱단은 파일을 암호화하고 나서 암호화된 파일 이름에 '.nightsky' 확장자를 추가하는 것이 특징이다.

올해 1월 초부터, 공격자는 인터넷에 노출된 VMware Horizon 시스템을 타깃으로 공격을 시작했다. VMware는 2111, 7.13.1, 7.10.3 버전을 공개해 Horizon의 Log4Shell 취약점을 패치했지만, 여전히 패치를 하지 않은 시스템들이 많아 피해가 예상된다.

최근 마이크로소프트(MS)는 인터넷에 노출된 VMware Horizon 시스템의 Log4Shell 취약점을 악용해 나이트스카이 랜섬웨어를 배포하는 중국 기반 공격자인 DEV-0401이 공격을 진행하고 있다고 경고하고 있다.

MS에 따르면, 랜섬웨어 운영자는 나이트스카이 랜섬웨어를 배포하기 위해 노출된 시스템을 해킹했다. DEV-0401 운영자는 과거 캠페인에서 LockFile, AtomSilo를 포함한 다양한 랜섬웨어를 배포해 왔다고 전했다.

★정보보안 대표 미디어 데일리시큐!★