중국 국가 지원 해커, Ivanti CSA 제로데이 공격의 주요 용의자

Chinese State Hackers Main Suspect in Recent Ivanti CSA Zero-Day Attacks

 

• 배경
  • Fortinet은 최근 Ivanti Cloud Services Application(CSA) 제품에 대한 제로데이 취약점 공격 배후에 국가 지원 해커가 있을 가능성을 제기
  • Ivanti는 지난 한 달간 고객들에게 CSA 제로데이 취약점이 소수의 고객 시스템을 타겟으로 악용되고 있음을 공지
• 주요 취약점 및 공격 방법
  • CVE-2024-8190
    • 원격 코드 실행(RCE) 취약점
    • 고급 권한이 필요하여 CVE-2024-8963, CVE-2024-9379, CVE-2024-9380과 결합해 인증 요구 사항을 충족
  • 공격 경로
    • 제로데이 취약점을 이용해 시스템을 장악한 후, 측면 이동, 웹 셸 배포, 정보 수집, 스캔 및 무차별 대입 공격 수행
    • 프록시 트래픽을 위해 해킹된 Ivanti 장치 사용
    • CSA 장치에 루트킷을 설치하여 장치가 공장 초기화될 경우에도 지속성 유지
• 특이 사항
  • 공격자는 CSA 취약점을 직접 패치하여 다른 해커들이 동일한 취약점을 악용하지 못하도록 방지, 자기들의 공격을 보호하는 전략
• 용의자
  • Fortinet은 공격이 국가 지원에 의해 수행되었을 가능성을 언급했으나, 특정 그룹은 식별하지 않음
  • UNC4841: Fortinet의 지표에 따르면 중국과 관련된 위협 그룹으로, 2023년 말 Barracuda 제품 제로데이를 악용한 바 있음
  • 중국 해커: Ivanti 제품 제로데이를 악용한 사례가 다수 있으며, 이전 공격과 유사한 활동 패턴 확인
• 보안 권고
  • CSA 사용자는 최신 패치 적용 및 네트워크 모니터링 강화를 통해 보안 사고 위험 완화
  • Fortinet IoC 사용하여 잠재적인 침해 지표 검토 및 지속적인 보안 감시