.gif)
펄스 시큐어, 포티넷, 팔로알토 네트웍스의 VPN 제품에서 발견된 취약점
두 이란 공격 단체, 2017년부터 협업하여 전 세계 여러 단체들 정찰해와
[보안뉴스 문가용 기자] 악명 높은 이란의 해킹 단체인 APT33과 APT34가 지난 3년 동안 전 세계 수많은 조직들을 합력하여 공격한 것으로 나타났다. 이 두 단체는 기업들에서 사용하는 VPN 제품의 취약점들을 특히 집중하여 공략했다고 보안 업체 클리어스카이(ClearSky)가 발표했다.
[이미지 = iclickart]
APT33은 리파인드 키튼(Refined Kitten), 엘핀(Elfin), 매그날륨(Magnalllium), 홀뮴(Holmium)이라고도 불리며, APT34는 오일리그(OilRig), 그린버그(Greenbug)라고도 불린다. 둘 다 이란 정부의 지원을 받고 있다고 알려져 있고, 중동, 미국, 유럽 아시아의 다양한 단체들을 공격해왔다. 하지만 2017년부터는 협업을 해온 것으로 보인다.
이 협업 캠페인은 보안 업체 드라고스(Dragos)가 파리사이트(Pariste), 클리어스카이가 폭스키튼캠페인(Fox Kitten Campaign)이라는 이름을 붙여 추적해오고 있다. 추적 중에 이란의 또 다른 해킹 그룹인 APT39 혹은 샤퍼(Chafer)가 연루되어 있다는 흔적이 발견되기도 했으나, 이 부분은 아직 확실하지 않다.
클리어스카이에 의하면 이 캠페인의 가장 주요한 목적은 표적들에 침투 후 장기적 공격의 발판을 마련하여 중요한 정보를 빼내는 것이라고 한다. 오픈소스와 자신들이 직접 개발한 도구를 고루 사용하고 있으며, 펄스 시큐어(Pulse Secure), 포티넷(Fortinet), 팔로알토 네트웍스(Palo Alto Networks)의 VPN 제품을 익스플로잇 한다고 한다.
위 VPN 제품에서 발견된 취약점은 다음과 같다.
1) CVE-2019-11510 : 펄스 시큐어 제품에서 발견된 임의 파일 열람 취약점
2) CVE-2018-13379 : 포티넷 제품에서 발견된 시스템 파일 다운로드 취약점
3) CVE-2019-1579 : 팔로알토 네트웍스 제품에서 발견된 임의 코드 실행 취약점.
클리어스카이는 보고서를 통해 “공격자들은 침투 통로를 확보한 뒤 정기적으로 민감한 정보를 검색, 식별, 취합하는 활동을 진행했고, 가치가 높은 정보가 발견될 경우 공격자들의 서버로 다운로드 했다”고 밝혔다. 또한 이 정보를 가지고 2차 공격을 감행했다고 한다.
공격자들이 스스로 개발한 공격 도구는 다음과 같다.
1) STSR체크(STSRCheck) : 데이터베이스와 공개된 포트를 매핑해주는 도구
2) 포우슈넷(POWSSHNET) : 일종의 백도어
3) VB스크립트(VBScript) : C&C 서버로부터 TXT 파일들을 다운로드 받고 통합해 실행파일로 변환시킨다.
4) port.exe : 미리 정의된 포트와 IP 주소를 스캔한다.
공격자들이 캠페인에 활용한 오픈소수 도구들은 다음과 같다.
1) 인보크 더 해시(Invoke the Hash) : 패스 더 해시(Pass the Hash) 메소드를 실행하는 파워셸 명령
2) 주시포테이토(JuicyPotato) : 로컬에서 권한 상승 공격을 가능케 해주는 도구
그 외에도 응록(Ngrok), FRP, 서베오(Serveo), 푸티 앤 플링크(Putty and Plink)와 같은 정상 유료 도구들도 공격에 활용한 것으로 나타났다.
클리어스카이에 의하면 공격자들은 보통 다음과 같은 순서로 공격을 진행했다고 한다.
1) RDP를 통해 피해 시스템에 침투한다.
2) 알맞은 파일들을 식별해내고, 포우슈넷과 또 다른 백도어, 웹셸을 사용해 빼돌린다
3) 응록, 서베오, FRP를 사용해 SSH 포워딩을 하고 리버스 프록시를 설정한다.
그러면서 클리어스카이는 “폭스 키튼 캠페인은 현재도 지속되고 있으며, 이란 정부의 지원을 꾸준히 받고 있을 가능성이 높다”고 경고했다. “주로 IT, 국방, 전기, 에너지, 항공 산업이 표적이 되고 있습니다.” 현재까지 피해를 입은 국가는 이스라엘, 미국, 사우디아라비아, 레바논, 쿠웨이트, UAE, 호주, 프랑스, 폴란드, 독일, 핀란드, 헝가리, 이탈리아, 오스트리아다.
클리어스카이는 “이란의 해킹 그룹이 서로 협업하고 있다는 정황이 계속해서 나타나고 있는데, 이는 이란을 적으로 두고 있는 국가들에 큰 위협이 될 수 있다”고 경고했다. “협업을 하면 인프라와 도구를 공유할 수 있어 추적에 혼선을 주고, 공격 비용은 아낄 수 있습니다.”
3줄 요약
1. 이란의 해킹 그룹 APT33과 APT34, 2017년부터 협업해온 듯.
2. 인프라와 도구를 공유하면서 공격 비용 낮추고 성공률은 높임.
3. 특히 기업들이 사용하는 VPN 제품들에서 발견된 취약점을 집중적으로 익스플로잇.
[국제부 문가용 기자(globoan@boannews.com)]
두 이란 공격 단체, 2017년부터 협업하여 전 세계 여러 단체들 정찰해와
[보안뉴스 문가용 기자] 악명 높은 이란의 해킹 단체인 APT33과 APT34가 지난 3년 동안 전 세계 수많은 조직들을 합력하여 공격한 것으로 나타났다. 이 두 단체는 기업들에서 사용하는 VPN 제품의 취약점들을 특히 집중하여 공략했다고 보안 업체 클리어스카이(ClearSky)가 발표했다.
[이미지 = iclickart]
APT33은 리파인드 키튼(Refined Kitten), 엘핀(Elfin), 매그날륨(Magnalllium), 홀뮴(Holmium)이라고도 불리며, APT34는 오일리그(OilRig), 그린버그(Greenbug)라고도 불린다. 둘 다 이란 정부의 지원을 받고 있다고 알려져 있고, 중동, 미국, 유럽 아시아의 다양한 단체들을 공격해왔다. 하지만 2017년부터는 협업을 해온 것으로 보인다.
이 협업 캠페인은 보안 업체 드라고스(Dragos)가 파리사이트(Pariste), 클리어스카이가 폭스키튼캠페인(Fox Kitten Campaign)이라는 이름을 붙여 추적해오고 있다. 추적 중에 이란의 또 다른 해킹 그룹인 APT39 혹은 샤퍼(Chafer)가 연루되어 있다는 흔적이 발견되기도 했으나, 이 부분은 아직 확실하지 않다.
클리어스카이에 의하면 이 캠페인의 가장 주요한 목적은 표적들에 침투 후 장기적 공격의 발판을 마련하여 중요한 정보를 빼내는 것이라고 한다. 오픈소스와 자신들이 직접 개발한 도구를 고루 사용하고 있으며, 펄스 시큐어(Pulse Secure), 포티넷(Fortinet), 팔로알토 네트웍스(Palo Alto Networks)의 VPN 제품을 익스플로잇 한다고 한다.
위 VPN 제품에서 발견된 취약점은 다음과 같다.
1) CVE-2019-11510 : 펄스 시큐어 제품에서 발견된 임의 파일 열람 취약점
2) CVE-2018-13379 : 포티넷 제품에서 발견된 시스템 파일 다운로드 취약점
3) CVE-2019-1579 : 팔로알토 네트웍스 제품에서 발견된 임의 코드 실행 취약점.
클리어스카이는 보고서를 통해 “공격자들은 침투 통로를 확보한 뒤 정기적으로 민감한 정보를 검색, 식별, 취합하는 활동을 진행했고, 가치가 높은 정보가 발견될 경우 공격자들의 서버로 다운로드 했다”고 밝혔다. 또한 이 정보를 가지고 2차 공격을 감행했다고 한다.
공격자들이 스스로 개발한 공격 도구는 다음과 같다.
1) STSR체크(STSRCheck) : 데이터베이스와 공개된 포트를 매핑해주는 도구
2) 포우슈넷(POWSSHNET) : 일종의 백도어
3) VB스크립트(VBScript) : C&C 서버로부터 TXT 파일들을 다운로드 받고 통합해 실행파일로 변환시킨다.
4) port.exe : 미리 정의된 포트와 IP 주소를 스캔한다.
공격자들이 캠페인에 활용한 오픈소수 도구들은 다음과 같다.
1) 인보크 더 해시(Invoke the Hash) : 패스 더 해시(Pass the Hash) 메소드를 실행하는 파워셸 명령
2) 주시포테이토(JuicyPotato) : 로컬에서 권한 상승 공격을 가능케 해주는 도구
그 외에도 응록(Ngrok), FRP, 서베오(Serveo), 푸티 앤 플링크(Putty and Plink)와 같은 정상 유료 도구들도 공격에 활용한 것으로 나타났다.
클리어스카이에 의하면 공격자들은 보통 다음과 같은 순서로 공격을 진행했다고 한다.
1) RDP를 통해 피해 시스템에 침투한다.
2) 알맞은 파일들을 식별해내고, 포우슈넷과 또 다른 백도어, 웹셸을 사용해 빼돌린다
3) 응록, 서베오, FRP를 사용해 SSH 포워딩을 하고 리버스 프록시를 설정한다.
그러면서 클리어스카이는 “폭스 키튼 캠페인은 현재도 지속되고 있으며, 이란 정부의 지원을 꾸준히 받고 있을 가능성이 높다”고 경고했다. “주로 IT, 국방, 전기, 에너지, 항공 산업이 표적이 되고 있습니다.” 현재까지 피해를 입은 국가는 이스라엘, 미국, 사우디아라비아, 레바논, 쿠웨이트, UAE, 호주, 프랑스, 폴란드, 독일, 핀란드, 헝가리, 이탈리아, 오스트리아다.
클리어스카이는 “이란의 해킹 그룹이 서로 협업하고 있다는 정황이 계속해서 나타나고 있는데, 이는 이란을 적으로 두고 있는 국가들에 큰 위협이 될 수 있다”고 경고했다. “협업을 하면 인프라와 도구를 공유할 수 있어 추적에 혼선을 주고, 공격 비용은 아낄 수 있습니다.”
3줄 요약
1. 이란의 해킹 그룹 APT33과 APT34, 2017년부터 협업해온 듯.
2. 인프라와 도구를 공유하면서 공격 비용 낮추고 성공률은 높임.
3. 특히 기업들이 사용하는 VPN 제품들에서 발견된 취약점을 집중적으로 익스플로잇.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
