미국과 영국의 정보 기관들이 합동으로 러시아 해커들에 대한 경고문을 발표했다. 러시아 해커들이라고 해서 덩치가 크고 중요한 조직만 노리는 게 아니라고 이들은 강조해서 경고했다. 모두가 보안 강화에 참여해야 하기에 보안 담당자들이 잘 이해하는 언어를 적극 활용하기도 했다.
[보안뉴스 문정후 기자] 미국 연방수사국(FBI)와 국가안보국(NSA), 사이버 국가임무부대(CNMF), 영국 국가사이버보안센터(NCSC-UK)가 합동으로 보안 경고문을 발표했다. 러시아의 연방 외무정보국(SVR)의 최근 활동에 대해 알리고 또 대응법을 전파하기 위함이다. 특히 시급히 패치해야 할 소프트웨어와 취약점의 목록이 같이 발표됐기 때문에 적절한 대응을 실제로 할 수 있다는 측면에서 이번 보안 경고문은 참고할 만한 것으로 평가되고 있다.
[이미지 = gettyimagesbank]
이번에 이들의 집중 포화를 받고 있는 사이버 조직은 SVR과 관련이 있다고 예전부터 알려져 왔었던 APT29다. 이들은 미드나이트블리자드(Midnight Blizzard), 노벨륨(Nobelium), 코지베어(Cozy Bear), 더듀크스(The Dukes) 등의 이름으로도 알려져 있다. 서방 세계 즉 미국과 서유럽 국가들의 방산, 테크, 금융 분야를 계속해서 공격해 왔던 장본인들로, 러시아 정부를 위해 각종 정보를 수집해 전달하는 역할을 담당하고 있다. 다른 지역에서의 활동도 발견되곤 한다.
합동 보고서에 따르면 APT29는 최근 캠페인을 통해 “초기 접근 및 권한 상승 공격을 시도하고 있다”고 하며, “네트워크 담당자들의 주의 깊은 방어 태세가 요구된다”고 한다. “APT29는 피싱, 패스워드 살포, 공급망 침해, 신뢰 관계 악용, 맞춤형 멀웨어, 클라우드 환경 악용, ‘리빙 오프 더 랜드(LOTL)’ 기법 등을 통해 최초 접근에 성공합니다. 그런 후 권한을 상승시키고 네트워크 내부에서 횡적으로 이동해 공격 지속성을 확보하지요. 그런 후 필요한 정보를 탈취합니다. 자신들의 이러한 활동을 숨기기 위해 토르(Tor) 네트워크나 대여한 서드파티 범죄 인프라를 자주 활용합니다.”
APT29와 관련된 세부 내용
이번 보안 경고문의 특이한 점은 마이터(MITRE)의 어택(ATT&CK) 프레임워크 15.1 버전을 기반으로 작성되었다는 것이다. 어택 프레임워크가 실질적인 공격 기법과 기술들을 상세히 묘사하여 방어책을 제공하기 위해 만들어진 것이라 보안 담당자들 사이에서는 널리 사용되고 있기 때문이다. 특히 APT 조직의 위협을 분류하고, 그에 대한 대책을 마련하는 데 있어 어택은 일종의 ‘공통 언어’로서 역할을 하고 있기도 하다. 즉 보안 섹계에서 일종의 공용어와 비슷하다는 것이다. 이 ‘공용어’를 정부 기관들이 채택하는 사례가 점점 늘어나고 있다.
이번 발표에 따르면 APT29의 활동은 ‘목표’와 ‘전략’이라는 측면에서 다음과 같이 분류할 수 있다고 한다.
1) 목표 : APT29는 주로 정부 및 외교 기관, 기술 사업, 싱크탱크, 국제 기구, 방산 업체 등을 노린다. 이런 조직들에 대한 접근 권한을 확보하려 하기도 한다. 아시아, 아프리카, 러시아, 남미 등 여러 지역을 노리기도 한다.
2) 전략 : APT29는 주로 공개된 취약점, 허술하게 설정된 인정 시스템, 설정 오류 등을 찾아 접근하려는 경향을 보인다. 패치되지 않은 것이 있는지 인터넷을 스캔하는 활동을 주로 하는 것은 이 때문이기도 하다. 표적으로 삼은 조직만을 노리지 않으며, 오히려 엉뚱해 보이는 조직이라 하더라도 구멍이 발견되면 침투하려 한다. 그리고 그 공격이 성공하면, 그것을 발판으로 삼아 본래의 표적에 다시 접근을 시도한다.
그런 APT29는 2023년부터 팀시티(TeamCity)와 팀즈(Teams)라는 소프트웨어의 취약점을 집중적으로 노리기 시작했다고 한다. “기술 지원을 사칭한 피싱 메시지를 팀즈 채팅을 통해 전송하는 소셜엔지니어링 기법을 사용하여 피해자로부터 계정 접근 권한을 가져가기도 했습니다. 팀즈를 통해 내부 협업을 진행하는 작은 기업들이 주로 피해를 입었는데, APT29는 이런 식으로 침해한 기업들의 네트워크와 자원들을 발판으로 삼아 정부 기관과 더 큰 기업, 비정부기구 등을 더 집요하게 공격하기 시작했습니다.”
즉 러시아 정부가 운영하는 APT 조직이 노릴 만한 중요 기관이나 대형 기업이 아니더라도 이들에게 침해당할 가능성이 낮지 않다는 의미다. 보통 기업들은 보안 강화를 망설이며 “누가 우리 같은 작은 조직을 노리겠는가”라고 말하곤 한다. 가져갈 게 없으니 아무도 노리지 않는다는 이런 논리는 사이버 보안 분야에서는 성립되지 않는다. 그런 작은 기업들의 시스템과 네트워크를 발판으로 삼아 더 큰 공격을 감행할 수 있고, 그렇게 되면 나중에 수사를 통해 공격자를 추적할 때 수사관들을 보다 쉽게 따돌릴 수 있게 되기 때문이다. 아무리 작고 보잘 것 없이 느껴지는 조직이라도 공격자들에게는 유용하다는 게 정설이다. “취약점을 찾아 패치하는 건 모두가 해야 할 일입니다.”
어떤 취약점을 패치해야 하는가?
이번 경고문에서는 APT29가 노려왔던 여러 가지 취약점들이 세부적으로 소개되기도 했다. 이는 다음과 같다.
1) CVE-2022-27924 : 짐브라(Zimbra)에서 발견된 명령어 삽입 취약점.
2) CVE-2023-42793 : 팀시티에서 발견된 임의 코드 실행 취약점.
3) CVE-2023-20198 : 시스코(Cisco) IOS XE에서 발견된 권한 상승 취약점.
4) CVE-2023-4911 : RHSA GNU C 라이브러리의 동적 로더에서 발견된 버퍼 오버플로우 취약점. 코드 실행을 가능하게 한다.
5) CVE-2023-38545 : 핵스(Haxx) Libcurl의 힙 버퍼 오버플로우 취약점.
6) CVE-2023-38546 : 핵스 Libcurl의 인증 누락 취약점.
7) CVE-2023-40289 : 슈퍼마이크로(Supermicro) X11SSM-F, X11SAE-F, X11SSE-F 1.66에서 발견된 명령 삽입 취약점.
8) CVE-2023-24023 : 블루투스 BR/EDR에서 발견된 중간자 공격 취약점.
9) CVE-2023-40088 : 안드로이드에서 발견된 원격 코드 취약점.
10) CVE-2023-40076 : 안드로이드 14.0에서 발견된 권한 우회 취약점.
11) CVE-2023-40077 : 안드로이드 11~14에서 발견된 권한 상승 취약점.
12) CVE-2023-45866 : 블루지(BlueZ) 내 블루투스 호스트에서 발견된 임의 명령 실행 취약점.
13) CVE-2022-40507 : 퀄컴(Qualcomm)에서 발견된 메모리 관련 취약점.
14) CVE-2023-36745 : 마이크로소프트 익스체인지 서버(MS Exchange Server)에서 발견된 원격 코드 실행 취약점.
15) CVE-2023-4966 : 시트릭스(Citrix)의 넷스케일러 ADC와 넷스케일러 게이트웨이에서 발견된 버퍼 오버플로우 취약점.
16) CVE-2023-6345 : 구글 크롬에서 발견된 정수 오버플로우 취약점. 샌드박스 탈출 가능.
17) CVE-2023-37580 : 짐브라에서 발견된 XSS 취약점.
18) CVE-2021-27850 : 아파치 타페스트리(Apache Tapestry)에서 발견된 원격 코드 실행 취약점.
19) CVE-2021-41773 : 아파치 HTTP 서버 2.4.99에서 발견된 디렉터리 탐색 취약점.
20) CVE-2021-42013 : 아파치 HTTP 서버 2.4.50에서 발견된 원격 코드 실행 취약점.
21) CVE-2018-13379 : 포티넷(Fortinet)의 포티게이트(FortiGate) SSL VPN에서 발견된 경로 탐색 취약점.
22) CVE-2023-42793 : 팀시티에서 발견된 인증 우회 취약점.
23) CVE-2023-29357 : 셰어포인트 서버(Sharepoint Server)에서 발견된 권한 상승 취약점.
24) CVE-2023-24955 : 셰어포인트 서버에서 발견된 원격 코드 실행 취약점.
25) CVE-2023-35078 : 이반티(Ivanti) 엔드포인트 매니저 모바일에서 발견된 인증 우회 취약점.
26) CVE-2023-5044 : 큐버네티스(Kubernetes) Ingress-nginx에서 발견된 코드 삽입 취약점.
어택 프레임워크의 어떤 항목들을 참조해야 하는가?
이번 경고문에서 언급된 위협 행위자의 전술 및 기술은 어택 프레임워크의 항목 번호를 기준으로 다음과 같다.
1) T1190 : 여러 CVE를 익스플로잇 해서 초기 접근에 성공한 뒤 권한을 상승시킨다.
2) T1068 : 침해한 호스트에서 권한을 상승시킨다.
3) T1566 : 스피어 피싱 캠페인을 진행한다.
4) T1078 : 비밀번호 살포 공격을 통해 피해자의 환경에 접근한다.
5) T1195.002 : 소프트웨어 업데이트를 악성 무기로 전환시켜 사용자를 침해한다.
6) T1199 : 신뢰 관계를 악용해 다른 표적을 노린다.
7) T1584 : 향후 추가 공격을 위해 다른 인프라를 침해한다.
8) T1665 : 프록시와 토르를 사용해 공격에 사용한 인프라를 숨긴다.
9) T1583 : 암호화폐, 가짜 신원, 가짜 이메일 계정을 사용해 인프라를 대여한다.
10) T1584.005 : 서드파티 시스템을 다수 침해하여 봇넷을 구성한다.
어떻게 대처해야 하는가?
보고서를 통해서는 다음과 같은 방안들이 제안됐다.
1) 패치와 업데이트의 신속한 적용. 가능하다면 자동 업데이트 활성화.
2) 불필요한 인터넷 접근 서비스를 비활성화하고, 신뢰할 수 있는 네트워크로의 접근만을 허용. 사용하지 않는 애플리케이션과 유틸리티는 제거.
3) 지속적으로 위협을 찾아서 제거.
4) 시스템 구성의 확인 및 재설정. 특히 인터넷에 노출된 시스템과 포트는 주기적으로 확인.
5) 인터넷에 노출된 서비스를 DMZ에 격리하여 내부 네트워크의 노출도를 감소.
6) 될 수 있으면 다중 인증 시스템을 적용.
7) 필요할 때마다 추가 인증 절차 도입.
8) 인증 서비스 및 인터넷에 노출된 시스템들에는 강력한 로깅을 활성화.
9) 관리자 권한이 있는 이메일 계정과 클라우드 기반 애플리케이션의 정기적 검토.
10) 접근 토큰의 수명을 제한.
11) 최소 권한의 원칙을 준수.
12) 미등록 장치로의 원격 접근 및 데이터 다운로드 기능의 비활성화.
3줄 요약
1. 미국과 영국이 러시아 해킹 조직의 활동에 대해 경고.
2. 러시아 해킹 조직의 공격 범위가 너무 넓어 사실상 모두에게 해당되는 이야기.
3. 우선 급한 취약점부터 공유했으니 패치에 참고해야 할 것.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 미국 연방수사국(FBI)와 국가안보국(NSA), 사이버 국가임무부대(CNMF), 영국 국가사이버보안센터(NCSC-UK)가 합동으로 보안 경고문을 발표했다. 러시아의 연방 외무정보국(SVR)의 최근 활동에 대해 알리고 또 대응법을 전파하기 위함이다. 특히 시급히 패치해야 할 소프트웨어와 취약점의 목록이 같이 발표됐기 때문에 적절한 대응을 실제로 할 수 있다는 측면에서 이번 보안 경고문은 참고할 만한 것으로 평가되고 있다.
[이미지 = gettyimagesbank]
이번에 이들의 집중 포화를 받고 있는 사이버 조직은 SVR과 관련이 있다고 예전부터 알려져 왔었던 APT29다. 이들은 미드나이트블리자드(Midnight Blizzard), 노벨륨(Nobelium), 코지베어(Cozy Bear), 더듀크스(The Dukes) 등의 이름으로도 알려져 있다. 서방 세계 즉 미국과 서유럽 국가들의 방산, 테크, 금융 분야를 계속해서 공격해 왔던 장본인들로, 러시아 정부를 위해 각종 정보를 수집해 전달하는 역할을 담당하고 있다. 다른 지역에서의 활동도 발견되곤 한다.
합동 보고서에 따르면 APT29는 최근 캠페인을 통해 “초기 접근 및 권한 상승 공격을 시도하고 있다”고 하며, “네트워크 담당자들의 주의 깊은 방어 태세가 요구된다”고 한다. “APT29는 피싱, 패스워드 살포, 공급망 침해, 신뢰 관계 악용, 맞춤형 멀웨어, 클라우드 환경 악용, ‘리빙 오프 더 랜드(LOTL)’ 기법 등을 통해 최초 접근에 성공합니다. 그런 후 권한을 상승시키고 네트워크 내부에서 횡적으로 이동해 공격 지속성을 확보하지요. 그런 후 필요한 정보를 탈취합니다. 자신들의 이러한 활동을 숨기기 위해 토르(Tor) 네트워크나 대여한 서드파티 범죄 인프라를 자주 활용합니다.”
APT29와 관련된 세부 내용
이번 보안 경고문의 특이한 점은 마이터(MITRE)의 어택(ATT&CK) 프레임워크 15.1 버전을 기반으로 작성되었다는 것이다. 어택 프레임워크가 실질적인 공격 기법과 기술들을 상세히 묘사하여 방어책을 제공하기 위해 만들어진 것이라 보안 담당자들 사이에서는 널리 사용되고 있기 때문이다. 특히 APT 조직의 위협을 분류하고, 그에 대한 대책을 마련하는 데 있어 어택은 일종의 ‘공통 언어’로서 역할을 하고 있기도 하다. 즉 보안 섹계에서 일종의 공용어와 비슷하다는 것이다. 이 ‘공용어’를 정부 기관들이 채택하는 사례가 점점 늘어나고 있다.
이번 발표에 따르면 APT29의 활동은 ‘목표’와 ‘전략’이라는 측면에서 다음과 같이 분류할 수 있다고 한다.
1) 목표 : APT29는 주로 정부 및 외교 기관, 기술 사업, 싱크탱크, 국제 기구, 방산 업체 등을 노린다. 이런 조직들에 대한 접근 권한을 확보하려 하기도 한다. 아시아, 아프리카, 러시아, 남미 등 여러 지역을 노리기도 한다.
2) 전략 : APT29는 주로 공개된 취약점, 허술하게 설정된 인정 시스템, 설정 오류 등을 찾아 접근하려는 경향을 보인다. 패치되지 않은 것이 있는지 인터넷을 스캔하는 활동을 주로 하는 것은 이 때문이기도 하다. 표적으로 삼은 조직만을 노리지 않으며, 오히려 엉뚱해 보이는 조직이라 하더라도 구멍이 발견되면 침투하려 한다. 그리고 그 공격이 성공하면, 그것을 발판으로 삼아 본래의 표적에 다시 접근을 시도한다.
그런 APT29는 2023년부터 팀시티(TeamCity)와 팀즈(Teams)라는 소프트웨어의 취약점을 집중적으로 노리기 시작했다고 한다. “기술 지원을 사칭한 피싱 메시지를 팀즈 채팅을 통해 전송하는 소셜엔지니어링 기법을 사용하여 피해자로부터 계정 접근 권한을 가져가기도 했습니다. 팀즈를 통해 내부 협업을 진행하는 작은 기업들이 주로 피해를 입었는데, APT29는 이런 식으로 침해한 기업들의 네트워크와 자원들을 발판으로 삼아 정부 기관과 더 큰 기업, 비정부기구 등을 더 집요하게 공격하기 시작했습니다.”
즉 러시아 정부가 운영하는 APT 조직이 노릴 만한 중요 기관이나 대형 기업이 아니더라도 이들에게 침해당할 가능성이 낮지 않다는 의미다. 보통 기업들은 보안 강화를 망설이며 “누가 우리 같은 작은 조직을 노리겠는가”라고 말하곤 한다. 가져갈 게 없으니 아무도 노리지 않는다는 이런 논리는 사이버 보안 분야에서는 성립되지 않는다. 그런 작은 기업들의 시스템과 네트워크를 발판으로 삼아 더 큰 공격을 감행할 수 있고, 그렇게 되면 나중에 수사를 통해 공격자를 추적할 때 수사관들을 보다 쉽게 따돌릴 수 있게 되기 때문이다. 아무리 작고 보잘 것 없이 느껴지는 조직이라도 공격자들에게는 유용하다는 게 정설이다. “취약점을 찾아 패치하는 건 모두가 해야 할 일입니다.”
어떤 취약점을 패치해야 하는가?
이번 경고문에서는 APT29가 노려왔던 여러 가지 취약점들이 세부적으로 소개되기도 했다. 이는 다음과 같다.
1) CVE-2022-27924 : 짐브라(Zimbra)에서 발견된 명령어 삽입 취약점.
2) CVE-2023-42793 : 팀시티에서 발견된 임의 코드 실행 취약점.
3) CVE-2023-20198 : 시스코(Cisco) IOS XE에서 발견된 권한 상승 취약점.
4) CVE-2023-4911 : RHSA GNU C 라이브러리의 동적 로더에서 발견된 버퍼 오버플로우 취약점. 코드 실행을 가능하게 한다.
5) CVE-2023-38545 : 핵스(Haxx) Libcurl의 힙 버퍼 오버플로우 취약점.
6) CVE-2023-38546 : 핵스 Libcurl의 인증 누락 취약점.
7) CVE-2023-40289 : 슈퍼마이크로(Supermicro) X11SSM-F, X11SAE-F, X11SSE-F 1.66에서 발견된 명령 삽입 취약점.
8) CVE-2023-24023 : 블루투스 BR/EDR에서 발견된 중간자 공격 취약점.
9) CVE-2023-40088 : 안드로이드에서 발견된 원격 코드 취약점.
10) CVE-2023-40076 : 안드로이드 14.0에서 발견된 권한 우회 취약점.
11) CVE-2023-40077 : 안드로이드 11~14에서 발견된 권한 상승 취약점.
12) CVE-2023-45866 : 블루지(BlueZ) 내 블루투스 호스트에서 발견된 임의 명령 실행 취약점.
13) CVE-2022-40507 : 퀄컴(Qualcomm)에서 발견된 메모리 관련 취약점.
14) CVE-2023-36745 : 마이크로소프트 익스체인지 서버(MS Exchange Server)에서 발견된 원격 코드 실행 취약점.
15) CVE-2023-4966 : 시트릭스(Citrix)의 넷스케일러 ADC와 넷스케일러 게이트웨이에서 발견된 버퍼 오버플로우 취약점.
16) CVE-2023-6345 : 구글 크롬에서 발견된 정수 오버플로우 취약점. 샌드박스 탈출 가능.
17) CVE-2023-37580 : 짐브라에서 발견된 XSS 취약점.
18) CVE-2021-27850 : 아파치 타페스트리(Apache Tapestry)에서 발견된 원격 코드 실행 취약점.
19) CVE-2021-41773 : 아파치 HTTP 서버 2.4.99에서 발견된 디렉터리 탐색 취약점.
20) CVE-2021-42013 : 아파치 HTTP 서버 2.4.50에서 발견된 원격 코드 실행 취약점.
21) CVE-2018-13379 : 포티넷(Fortinet)의 포티게이트(FortiGate) SSL VPN에서 발견된 경로 탐색 취약점.
22) CVE-2023-42793 : 팀시티에서 발견된 인증 우회 취약점.
23) CVE-2023-29357 : 셰어포인트 서버(Sharepoint Server)에서 발견된 권한 상승 취약점.
24) CVE-2023-24955 : 셰어포인트 서버에서 발견된 원격 코드 실행 취약점.
25) CVE-2023-35078 : 이반티(Ivanti) 엔드포인트 매니저 모바일에서 발견된 인증 우회 취약점.
26) CVE-2023-5044 : 큐버네티스(Kubernetes) Ingress-nginx에서 발견된 코드 삽입 취약점.
어택 프레임워크의 어떤 항목들을 참조해야 하는가?
이번 경고문에서 언급된 위협 행위자의 전술 및 기술은 어택 프레임워크의 항목 번호를 기준으로 다음과 같다.
1) T1190 : 여러 CVE를 익스플로잇 해서 초기 접근에 성공한 뒤 권한을 상승시킨다.
2) T1068 : 침해한 호스트에서 권한을 상승시킨다.
3) T1566 : 스피어 피싱 캠페인을 진행한다.
4) T1078 : 비밀번호 살포 공격을 통해 피해자의 환경에 접근한다.
5) T1195.002 : 소프트웨어 업데이트를 악성 무기로 전환시켜 사용자를 침해한다.
6) T1199 : 신뢰 관계를 악용해 다른 표적을 노린다.
7) T1584 : 향후 추가 공격을 위해 다른 인프라를 침해한다.
8) T1665 : 프록시와 토르를 사용해 공격에 사용한 인프라를 숨긴다.
9) T1583 : 암호화폐, 가짜 신원, 가짜 이메일 계정을 사용해 인프라를 대여한다.
10) T1584.005 : 서드파티 시스템을 다수 침해하여 봇넷을 구성한다.
어떻게 대처해야 하는가?
보고서를 통해서는 다음과 같은 방안들이 제안됐다.
1) 패치와 업데이트의 신속한 적용. 가능하다면 자동 업데이트 활성화.
2) 불필요한 인터넷 접근 서비스를 비활성화하고, 신뢰할 수 있는 네트워크로의 접근만을 허용. 사용하지 않는 애플리케이션과 유틸리티는 제거.
3) 지속적으로 위협을 찾아서 제거.
4) 시스템 구성의 확인 및 재설정. 특히 인터넷에 노출된 시스템과 포트는 주기적으로 확인.
5) 인터넷에 노출된 서비스를 DMZ에 격리하여 내부 네트워크의 노출도를 감소.
6) 될 수 있으면 다중 인증 시스템을 적용.
7) 필요할 때마다 추가 인증 절차 도입.
8) 인증 서비스 및 인터넷에 노출된 시스템들에는 강력한 로깅을 활성화.
9) 관리자 권한이 있는 이메일 계정과 클라우드 기반 애플리케이션의 정기적 검토.
10) 접근 토큰의 수명을 제한.
11) 최소 권한의 원칙을 준수.
12) 미등록 장치로의 원격 접근 및 데이터 다운로드 기능의 비활성화.
3줄 요약
1. 미국과 영국이 러시아 해킹 조직의 활동에 대해 경고.
2. 러시아 해킹 조직의 공격 범위가 너무 넓어 사실상 모두에게 해당되는 이야기.
3. 우선 급한 취약점부터 공유했으니 패치에 참고해야 할 것.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
