클리어스카이(Clearsky) 보안연구원이 레바논에 근거를 둔 ‘Cedar APT’ 해킹그룹의 최근 전 세계 기업 대상 사이버 공격 관련 보고서를 공개했다고 시큐리티어페어스가 보도했다.
이 그룹의 활동은 2015년 체크포인트와 카스퍼스키 연구소에서 처음 발견된 바 있다.
연구원들은, 해당 APT 그룹이 2012년부터 활동하고 있으며 헤즈볼라 무장 그룹과 연계돼 있다고 전했다.
클리어스카이 전문가들은 레바논 Cedar 해킹그룹이 통신 회사, 인터넷 서비스 제공 업체, 호스팅 제공 업체, 관리 호스팅 및 애플리케이션 회사 등을 타깃으로 사이버공격에 집중하고 있다고 밝혔다.
이 그룹의 공격은 2020년 초에 시작되었으며 위협 행위자들은 미국, 영국, 이집트, 이스라엘, 레바논, 요르단, 팔레스타인 당국, 사우디 아라비아 및 UAE의 인터넷 서비스 제공 업체 등을 공격했다.
클리어스카이 보고서에 따르면, 레바논 사이버공격 그룹에 의해 침해 된 254대의 서버를 발견했다. 한편 발견된 서버보다 더 많은 회사가 해킹을 당했으며 몇 개월 혹은 몇 년 동안 전세계 회사에서 기밀정보들이 유출됐을 것이라고 밝혔다.
레바논 Cedar 해커는 오픈소스 해킹 도구를 사용해 인터넷에서 패치되지 않은 Atlassian 및 Oracle 서버를 검색 한 다음 익스플로잇을 사용해 서버에 액세스하고 웹 쉘을 배포해 대상 시스템에 침입 발판을 마련하고 있다.
이 공격그룹이 이용한 취약점은 △Atlassian Confluence Server (CVE-2019-3396) △Atlassian Jira Server 또는 △Data Center (CVE-2019-11581) △Oracle 10g 11.1.2.0 (CVE-2012-3152) 등이다.
또 ASPXSpy, Caterpillar 2, Mamad Warning과 같은 여러 웹쉘을 사용해 다양한 공격 작업을 수행했다.
또한 JSP 파일 브라우저라는 수정 된 버전의 오픈 소스 도구를 사용해 웹 기반 액세스를 얻고 원격 서버에 저장된 파일을 조작했다.
일단 표적의 네트워크에 침투를 성공하면 과거 Lebanese Cedar 해킹그룹이 독점적으로 사용하던 악성코드 인 Explosive remote access trojan (RAT)을 배포하는 것으로 조사됐다.
★정보보안 대표 미디어 데일리시큐!★