중국에 기반을 둔 여러 해킹 그룹이 미국의 중요 부문, 특히 에너지 및 방위 산업을 표적으로 삼고 있는 것으로 확인되었다. 이는 전 세계 사이버 보안 기관이 IT 대기업인 이반티(Ivanti)에 영향을 미치는 취약점에 대해 경고를 발령한 데 따른 것이다.

CVE-2023-46805, CVE-2024-21887, CVE-2024-21893으로 표시된 문제의 취약점은 전 세계 정부에서 널리 사용되는 Ivanti Connect Secure 및 Ivanti Policy Secure 게이트웨이에 영향을 미친다. 이러한 취약점은 악의적인 공격자에 의해 악용될 가능성이 있어 큰 주목을 받고 있다.

구글 맨디언트 보고서에 따르면, 지난 1월 10일 이반티가 이 취약점을 공개한 이후 이 취약점을 악용하는 여러 해킹그룹들의 활동이 포착됐다. 특히 맨디언트는 2월에 볼트 타이푼으로 추정되는 그룹을 추적하기 시작했다. 이 그룹은 중국에 기반을 둔 다른 4개 그룹과 함께 미국의 에너지 및 방위 부문을 표적으로 삼고 있다.

맨디언트의 보고서는 공격의 다양한 특성을 강조하며 국가가 후원하는 것으로 의심되는 스파이 그룹 외에도 금전적 동기를 가진 공격자들도 취약점을 악용하고 있다고 지적한다. 이러한 공격의 목적은 다양하며, 일부 그룹은 암호화폐 채굴과 같은 작업을 가능하게 하려는 것으로 보인다.

이 보고서에서는 해커들이 사용한 방법을 자세히 설명하며, 여기에는 테리블테아, 팬텀넷, 토너잼, 스펀스네일, 스펀몰 등 다양한 변종 멀웨어의 사용도 포함되어 있다. 또한 맨디언트는 은밀하고 지속적인 백도어를 생성하는 데 사용되는 네 가지 멀웨어 제품군을 발견하여 탐지를 피하면서 손상된 네트워크에 장기간 액세스하는 것을 용이하게 했다.

해커들은 침입하는 동안 피해 네트워크에 더 깊숙이 침투하여 종종 마이크로소프트와 브이엠웨어 툴을 손상시켰다.

국내 이반티 사용기관들은 패치를 적용하고 각별한 주의를 기울여야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★