Nearly 24,000 IPs Target PAN-OS GlobalProtect in Coordinated Login Scan Campaign
- 공격 개요
- 2025년 3월 17일부터 3월 26일까지 Palo Alto Networks의 GlobalProtect 포털을 대상으로 한 대규모 로그인 시도가 탐지됨
- 최대 23,958개의 고유 IP 주소가 연합된 방식으로 포털에 접근 시도
- GreyNoise는 이를 조직적 스캐닝 및 정찰 캠페인으로 분석
- 주요 특징 및 공격자 IP 정보
- 하루 평균 약 20,000개의 고유 IP가 접근 시도
- 154개의 IP만이 명확히 악성으로 분류되었으며 나머지는 주로 정찰 목적 추정
- 상위 발생 국가: 미국, 캐나다, 핀란드, 네덜란드, 러시아
- 주요 타깃 국가: 미국, 영국, 아일랜드, 러시아, 싱가포르
- 공격 양상은 신규 취약점 공개 전 사전 탐색 작업과 유사한 양상
- 공격 대상 및 연계 위협
- 공격 대상은 주로 인터넷에 노출된 GlobalProtect VPN 게이트웨이
- 3월 28일부터는 F5, Ivanti, SonicWall, Zyxel, Zoho ManageEngine, Linksys 등 다양한 엣지 장비 대상으로 활동 확대 탐지
- 조직적 정찰 및 공격 준비 가능성이 존재
- Palo Alto Networks 대응
- Palo Alto Networks는 GreyNoise 보고를 인지하고 관련 활동을 분석 중
- 고객에게 최신 PAN-OS 버전 유지 및 보안 권고 사항 준수 요청
- "고객 보안을 최우선"으로 강조하며 상황 모니터링 중이라고 발표
- 보안 권고
- PAN-OS 최신 버전(PAN-OS 10.2 이상)으로 신속히 업데이트
- 외부 접근 가능한 포털에 대해 다단계 인증(MFA) 적용
- 로그인 시도 실패 횟수 제한 및 IP 차단 정책 설정 강화
- GreyNoise, CISA, Palo Alto Threat Intelligence 피드 기반으로 정책적 대응 강화
- PAN-OS 로그를 기반으로 비정상 로그인 시도 탐지 및 알림 설정
- 결론
- 본 캠페인은 단순 로그인 공격이 아닌 사전 공격 준비 단계의 정찰 활동으로 해석됨
- 향후 공개될 취약점 악용 공격과 연계될 가능성이 있으므로 위협 사전 차단 및 탐지 체계 강화 필요
- 기업은 모든 인터넷 노출 시스템에 대해 정기적인 보안 점검 및 침투 테스트를 수행해야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| AI 기반 사이버 공격의 진화와 산업별 보안 대응 전략 (1) | 2025.05.12 |
|---|---|
| Burp AI 출시로 인공지능 기반 침투 테스트 자동화 강화 (0) | 2025.05.11 |
| Lucid PhaaS 기반 iMessage 및 RCS 스미싱 캠페인 분석 (1) | 2025.05.11 |
| PostgreSQL 서버 1,500대 이상 감염된 파일리스 암호화폐 채굴 캠페인 분석 (0) | 2025.05.11 |
| PowerShell 기반 KoiLoader 악성코드 감염 사례 및 탐지 회피 분석 (0) | 2025.05.11 |