|
러시아 스파이 해커들이 악용하고있는 12가지 보안 결함 침해사고분석팀 2021.05.10 |
|
|
러시아와 미국 정보기관들이 공동으로 금요일 발표한 새로운 권고에 따르면 러시아 대외정보국(SVR) 소속 사이버 요원들이 이전의 공격 방식을 공개하는 것에 대응하여 전술의 전환을 했다.
NCSC(National Cyber Security Center)는 "SVR 사이버 운영자는 네트워크 방어자들의 추가 탐지 및 조치 노력을 피하고자 TTP를 변경하여 대응한 것으로 보인다."고 말했다.
여기에는 손상된 피해자에 대한 액세스를 유지하기 위한 Sliver라는 오픈 소스 툴의 구축과 마이크로소프트 Exchange 서버의 프록시 로그온 결함을 활용하여 사후 개발 작업을 수행하는 것이 포함된다.
이번 개발은 지난달 SolarWinds 공급망 공격에 대한 SVR 관련 행위자의 공개적 귀속을 따랐다. 공격자는 APT29(Advanced Persistent Threat 29), Dukes, CozyBear 및 Yttrium과 같은 다른 이름으로 추적된다.
이 속성에는 SVR의 APT29 그룹이 미국 및 외국 기관에 침투하기 위한 초기 액세스 포인트로 사용했던 5가지 취약점을 자세히 설명하는 기술 보고서도 함께 제공되었다.
- CVE-2018-13379 : Fortinet FortiGate VPN
- CVE-2019-9670 : Synacor Zimbra Collaboration Suite - CVE-2019-11510 : Pulse Secure Pulse Connect Secure VPN - CVE-2019-19781 : Citrix Application Delivery Controller and Gateway - CVE-2020-4006 : VMware Workspace ONE Access
NCSC는 "SVR은 정부, 싱크 탱크, 정책, 에너지 표적뿐만 아니라 2020년 COVID-19 백신 표적과 같은 더 많은 시간제한 목표를 포함하여 러시아 외국 정보 이해관계에 부합하는 조직을 목표로 한다."고 밝혔다.
이어 4월 26일에 그룹이 침입을 오케스트레이션하고, 암호 스프레이를 계산하고, 가상 사설망 어플라이언스 (예 : CVE-2019-19781)에 대한 제로 데이 결함을 악용하여 네트워크를 확보하기 위해 사용하는 기술에 대해 더 많은 정보를 제공하는 별도의 지침이 이어졌다. COVID-19 백신 개발에 관련된 여러 조직의 지적 재산을 약탈하기 위해 WELLMESS라는 Golang 악성 코드에 액세스하고 배포한다.
NCSC에 따르면, APT29는 최근 공개된 공개 취약성을 "급속하게" 무기화하여 대상에 대한 초기 액세스를 가능하게 할 가능성이 있다는 점에 주목하고 있다.
- CVE-2019-1653 : Cisco Small Business RV320 and RV325 Routers
- CVE-2019-2725 : Oracle WebLogic Server - CVE-2019-7609 : Kibana - CVE-2020-5902 : F5 Big-IP - CVE-2020-14882 : Oracle WebLogic Server - CVE-2021-21972 : VMware vSphere - CVE-2021-26855 : Microsoft Exchange Server
출처 https://thehackernews.com/2021/05/top-11-security-flaws-russian-spy.html |
