시큐리티어페어스 보도에 따르면, 특정 APT 해킹그룹이 패치되지 않은 포티넷 VPN 취약점을 악용해 미국 지방 자치 정부 네트워크를 침해했다고 보도했다.
이번 FBI 경고문에 따르면 “FBI는 취약점을 악용하는 APT 행위자에 대해 계속 경고하고 있다. 적어도 2021년 5월 현재 APT 그룹은 거의 확실하게 포티게이트 제품을 사용해 미국 지방 정부 도메인을 호스팅하는 웹 서버에 액세스함을 확인했다”고 설명했다.
한편 지난 4월, FBI와 CISA(Cybersecurity and Infrastructure Security Agency)는 포티넷 포티OS 서버를 표적으로 삼은 APT 그룹이 수행한 공격에 대해 경고한 바 있다.
공격자는 포티넷 포티OS에서 CVE-2018-13379, CVE-2020-12812, CVE-2019-5591 취약점을 활발히 악용하고 있다.
FBI는 “미국 지방 정부 대상 공격에 대한 기술 세부 사항을 제공하고 있다. 전문가들은 이 APT 그룹이 네트워크의 다른 기존 계정과 유사한 새로운 사용자 계정을 설정했다는 사실을 발견했다. 공격자는 “ellie”, “WADGUtilityAccount” 등 계정 사용자 이름도 사용했다”고 경고했다.
또한 “공격자가 인식되지 않은 예약된 작업 또는 행위로 표시될 수 있는 Task Scheduler를 수정했을 가능성도 있다. 전문가가 분석한 공격에서 이들 공격자는 SynchronizeTimeZone 작업을 생성했다”고 전했다.
해당 공격과 관련된 도구는 다음과 같다.
• Mimikatz (인증서 도용)
• MinerGate (암호화 채굴)
• WinPEAS (권한 상승)
• SharpWMI (Windows Management Instrumentation)
• 예상치 못한 경우 BitLocker 활성화 (데이터 암호화)
• 예상치 못한 WinRAR (보관)
• 예상치 못한 FileZilla (파일 전송)
이밖에 다른 침해 지표들도 경고에 포함되어 있다.
국내 이용자들도 이에 대한 대비가 필요하다.
★정보보안 대표 미디어 데일리시큐!★