클롭(Clop) 랜섬웨어 조직이 최근 클레오(Cleo)의 관리형 파일 전송(MFT) 플랫폼 취약점을 이용해 데이터 탈취 공격을 벌였다고 밝혔다. 이들이 악용한 취약점은 CVE-2024-50623과 CVE-2024-55956으로, 두 가지 모두 기업 네트워크에 원격 접근 권한을 허용하는 심각한 보안취약점이다.
클레오는 Harmony(하모니), VLTrader(브이엘트레이더), LexiCom(렉시콤) 플랫폼 개발사로, 기업들이 파트너 및 고객과 안전하게 파일을 전송하도록 돕는 솔루션을 제공하고 있다.
클레오는 지난 10월, 원격 코드 실행을 가능하게 하는 취약점 CVE-2024-50623을 발표했다. 이 취약점은 플랫폼 내에서 제한 없이 파일을 업로드 및 다운로드할 수 있는 문제로, 클레오는 하모니, 브이엘트레이더, 렉시콤 5.8.0.21 버전에서 이 문제를 해결했다.
당시 클레오는 기술 지원 사이트에 로그인해야 볼 수 있는 비공개 공지를 통해 이 취약점이 실제로 악용되어 공격자가 리버스 셸(reverse shell)을 열고 원격으로 장치를 제어했다고 설명했다. 해당 취약점을 통해 공격자는 서버 측 자바스크립트 코드가 포함된 악성 프리마커 템플릿을 설치해 백도어를 심었다.
이후 지난주 사이버 보안 기업 헌트리스는 또 다른 제로데이 취약점이 클레오 플랫폼에서 악용되고 있다는 경고를 내놓았다. 헌트리스 연구원들은 CVE-2024-50623 패치를 분석한 결과, 해당 결함이 완전히 해결되지 않았다고 지적했다.
새롭게 발견된 취약점은 CVE-2024-55956으로 명명됐으며, 클레오는 이를 5.8.0.24 버전에서 수정했다. 이번 공격에서 클롭은 "Malichus(말리쿠스)"라는 자바 백도어를 업로드해 데이터를 훔치고, 명령을 실행하며 추가 네트워크 접근 권한을 획득했다.
미국 사이버 보안 및 기반시설 보안국 CISA도 지난 금요일 CVE-2024-50623 취약점이 랜섬웨어 공격에 악용됐음을 확인했다. 하지만 공격과 관련된 추가 세부사항은 공유하지 않았다.
한편, 사이버 보안 기업 래피드7은 두 취약점이 서로 다른 문제에서 비롯된 것임을 확인했다. CVE-2024-50623은 파일 읽기 및 쓰기 권한을 모두 허용하는 반면, CVE-2024-55956은 파일 쓰기 권한만 허용한다는 점에서 차이가 있다.
이번 클레오 공격은 처음에는 터마이트(Termite)라는 새로운 랜섬웨어 조직의 소행으로 여겨졌지만, 분석 결과 클롭의 기존 공격 방식과 매우 유사했다. 이에 따라 클롭 조직에 직접 확인한 결과, 이들이 클레오 플랫폼의 두 취약점을 모두 악용했다고 인정했다.
클롭은 특정 보안 매체와의 인터뷰에서 “클레오는 우리의 프로젝트였다. 모든 작업은 철저한 보안 조치 하에 진행됐으며, 정부, 의료, 연구소 등 주요 데이터를 발견하면 즉시 삭제한다”라고 주장했다.
또한 “최근 클레오 사건과 관련해 이전 공격의 데이터는 모두 삭제하고, 새로운 피해 기업만 대상으로 활동을 이어가겠다”고 밝혔다. 이와 함께 자신들의 데이터 유출 사이트에서 클레오 관련 피해 기업들의 데이터를 비활성화하겠다는 메시지를 올렸다.
클롭 랜섬웨어 조직은 2019년부터 활동해온 해커 그룹으로, TA505 또는 Cl0p이라는 이름으로도 알려져 있다. 이들은 초기에는 네트워크 침투 후 데이터를 탈취하고 랜섬웨어를 배포해 파일을 암호화하는 전형적인 수법을 사용했다.
그러나 2020년 이후부터는 보안 파일 전송 플랫폼의 알려지지 않은 취약점을 악용하는 방식에 집중하고 있다. 대표적으로 2020년 액셀리온 FTA(Accellion FTA) 플랫폼, 2021년 솔라윈즈 Serv-U FTP 소프트웨어, 2023년 GoAnywhere MFT 플랫폼의 제로데이 취약점을 악용해 수많은 기업의 데이터를 탈취한 바 있다.
지난해 클롭의 가장 큰 공격은 MOVEit(무브잇) 플랫폼의 제로데이 취약점을 이용한 공격이었다. 이 사건으로 클롭은 2,700개 이상의 기관에서 데이터를 훔쳤다.
보안 전문가들은 기업들이 취약점을 완전히 해결한 최신 버전으로 클레오 소프트웨어를 즉각 업데이트해야 한다고 강조했다. 또한 보안 패치 적용 후에도 정기적으로 시스템을 모니터링하고 비정상적인 접근이 감지되는지 확인해야 한다고 조언했다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
