Andariel 그룹의 Apache ActiveMQ 취약점 (CVE-2023-46604) 공격 정황 - ASEC BLOG 관련 IOC 32개 발견
확인 2. Andariel 위협 그룹과 관련된 바이러스 활동 확인 3. NukeSped, TigerRat 백도어 설치 사례 확인
ASEC은 최근 Andariel 위협 그룹이 Apache ActiveMQ 원격 코드 실행 취약점(CVE-2023-46604)을 악용해 악성코드를 설치하는 것으로 추정되는 공격 사례를 확인하였다. 이 그룹은 국내 기업 및 기관을 대상으로 공격하며, 2008년부터 활동하고 있으며, 스피어 피싱 공격, 워터링 홀 공격, 공급망 공격 등을 이용하고 있다. 최근에는 Log4Shell 취약점과 부적절하게 관리된 MS-SQL 서버를 대상으로 한 공격, 정상 소프트웨어를 악용하는 공격 사례도 확인되고 있다. 이번 공격에서는 Apache ActiveMQ 서버를 대상으로 NukeSped, TigerRat 백도어를 설치하고 있는 것으로 추정된다.
Ahnlab
APACHE ActiveMQ vulnerability (CVE-2023-46604) attack situation-ASEC Blog
Confirmation 2. Virus activities related to the Andariel threat group 3. NUKESPED, TIGERRAT backdoor installation case confirmed
ASEC recently confirmed an attack case that the Andariel threat group abused the Apache ActiveMQ remote code execution vulnerability (CVE-2023-46604) to install malicious code.The group has attacked domestic companies and institutions and has been active since 2008, and has been using spear phishing attacks, watering halls, and supply chain attacks.In recent years, there has also been confirmed to be an attack on the Log4Shell vulnerabilities and an inappropriate MS-SQL server and exploiting normal software.In this attack, it is estimated that the NuKesped and TIGERRAT backdoor are installed for the Apache ActiveMQ server.
https://asec.ahnlab.com/ko/59130/