Cisco Confirms Salt Typhoon Exploited CVE-2018-0171 to Target U.S. Telecom Networks
Salt Typhoon used custom malware JumbledPath to spy on U.S. telecom providers
Salt Typhoon used custom malware JumbledPath to spy on U.S. telecom providers
China-linked cyber espionage group Salt Typhoon uses custom malware JumbledPath to spy U.S. telecom providers.
securityaffairs.com
Salt Typhoon Hackers Exploit Cisco vulnerability to Gain Device Access on US.Telecom Networks
Salt Typhoon Hackers Exploit Cisco vulnerability to Gain Device Access on US.Telecom Networks
A highly advanced threat actor, dubbed "Salt Typhoon," has been implicated in a series of cyberattacks targeting major U.S. telecommunications networks.
gbhackers.com
- 공격 개요
- 공격자 그룹: Salt Typhoon (중국 연계 APT 그룹, 이전에는 FamousSparrow, GhostEmperor로 알려짐)
- 공격 대상: 미국 주요 통신 네트워크, ISP 및 전 세계 통신사
- 공격 시기: 2024년 말부터 현재까지 지속
- 공격 방법
- 주요 취약점 악용
- CVE-2018-0171: Cisco Smart Install 기능의 원격 코드 실행(RCE) 취약점
- CVE-2023-20198, CVE-2023-20273, CVE-2024-20399: Cisco 장치의 추가 취약점 (완전히 확인되지는 않음)
- 인증된 사용자 자격 증명 도용
- 맞춤형 악성코드(JumbledPath) 사용
- 주요 취약점 악용
- 공격 기법 및 기술
- 지속성 유지(Persistence)
- 통신 네트워크에 최대 3년 이상 잠입
- 합법적인 자격 증명과 "living-off-the-land (LOTL)" 전술을 사용하여 탐지 회피
- 기본 네트워크 도구 악용
- SNMP, TACACS+, RADIUS 트래픽을 가로채어 자격 증명 수집
- 장치 설정 파일 탈취를 통해 약하게 암호화된 비밀번호 및 네트워크 정보를 획득
- 구성 변경
- ACL(Access Control List) 조작
- Loopback 인터페이스 변경
- SSH 서버를 고포트(high-port)로 전환
- Guest Shell 활성화 및 로컬 계정 생성
- 맞춤형 툴 JumbledPath
- 패킷 캡처를 원격으로 수행
- 로그 삭제 및 활동 은폐
- SSH 연결을 통해 액세스 제어 우회
- 멀티 홉(Multi-hop) 연결을 통해 출처와 목적지를 감추며 데이터 탈취
- 중간 경유 장치 사용
- 한 통신사 장비를 중간 경유지(hop point)로 사용해 다른 통신사의 장비를 공격
- GRE(Generic Routing Encapsulation) 터널을 사용해 데이터 은밀히 전송
- 지속성 유지(Persistence)
- 보안 권고
- 패치 적용: 모든 Cisco 장비에 최신 보안 패치를 적용
- 로그 모니터링 강화
- syslog, AAA(인증, 인가, 회계) 로그, 네트워크 동작을 감시
- 비정상적인 트래픽 및 자격 증명 접근 시도를 탐지
- 강력한 인증 수단
- 다중 인증(MFA) 적용
- 불필요한 서비스(Smart Install) 비활성화
- 구성 관리 체계 강화
- 정기적인 네트워크 구성 검토 및 백업
- SSH 고포트 사용 및 Guest Shell 활성화 탐지
- 공격 지표(IOC) 분석
- .bash_history, auth.log, lastlog, wtmp, btmp 등의 로그 파일 삭제 여부 점검
- 결론
- Salt Typhoon의 공격은 고도의 지속성(Persistence)과 탐지 회피 능력(Stealth)을 보여주는 사례
- 통신 분야뿐만 아니라 다양한 산업에 걸쳐 이와 유사한 기술을 사용할 가능성 존재
- 조직은 정기적인 취약점 관리와 네트워크 분할(Network Segmentation)을 통해 공격 표면을 최소화해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 중국 TopSec의 검열 서비스 제공 실태와 데이터 유출 사건 (0) | 2025.03.04 |
|---|---|
| GDPR에 따른 데이터 오용 및 개인정보 침해 시 기업을 고소하는 방법 (0) | 2025.03.04 |
| 러스트(Rust) 메모리 관리, 소유권과 차용 메커니즘 (0) | 2025.03.04 |
| 미래 데이터베이스 전문가의 역할 변화, AI 시대의 DBA 생존 전략 (0) | 2025.03.04 |
| AI 생성 콘텐츠 판별법: 이미지, 영상, 오디오, 텍스트 (0) | 2025.03.04 |