중국국가안전부와 관계있는 해킹 그룹에 의해 실행된 공격에 대해 미국 사이버보안 인프라 보안 기관인 CISA가 9월 14일 보안 권고를 발표했다. 해킹 그룹은 마이크로소프트 익스체인지 서버(Microsoft Exchange Server) 외에도 펄스 시큐어(Pulse Secure), 시트릭스 VPN(Citrix VPN)을 F5네트웍스 BIG-IP 제품군 취약점 등을 이용해 정부기관과 민간 기업을 공격하고 있다는 것이다.
CISA 권고에 따르면 해킹 그룹은 먼저 장치 검색 엔진 쇼단(Shodan)이나 CVE(Common Vulnerabilities and Exposures), NVD(National Vulnerability Database)라는 데이터베이스를 이용해 취약점을 갖고 있는 장치를 찾는다. CISA가 확인한 주요 대상이 된 취약점은 CVE-2020-5902(F5 BIG-IP). CVE-2019-19781 (Citrix), CVE-2019-11510 (Pulse Secure), CVE-2020-0688(Microsoft Exchange Server)이다.
해킹 그룹은 취약점을 통해 네트워크에 연결한 뒤 코발트 스트라이크(Cobalt Strike)라는 공격 프레임워크나 웹쉘인 차이나 초퍼(China Chopper), 관리자 자격 증명을 취득한 미미캐츠(Mimikatz)라는 도구를 이용해 네트워크 제어를 입수한다는 것. CISA는 마이크로소프트 익스체인지 서버 CVE-2020-0688을 이용해 연방정부기관 서버에 이메일을 수집하는 움직임을 보인 걸 보고하고 해커가 시도한 조직 네트워크, 수집 데이터에 액세스 중 일부가 성공했다고 밝히고 있다.
CISA는 치명적 취약점에 대한 패치를 하지 않으면 공격자는 사용자 정의 멀웨어를 개발하고 지금까지 발견되지 않은 취약점을 찾아낼 필요 없이 공격을 성공시킬 수 있다고 밝혔다. 이 같은 언급으로 취약점이 이용되는 걸 막기 위해 정부기관과 민간기업에 대한 패치를 호소한 것이다.
한편 해킹그룹은 장치 취약점을 대상으로 한 방법 외에도 기존 스피어피싱이나 약한 자격증명을 겨냥한 무차별 대입 공격을 포함한 다양한 방법으로 공격을 수행한다고 CISA가 경고했다. 체크포인트리서치가 보고서에서 밝힌 2020년 상반기 보고된 공격 중 80%가 2017년까지 등록된 취약점을 이용한 것으로 전체 중 20% 이상이 7년 전 이상 전에 보고된 취약점을 이용한 것이라고 지적했다. 관련 내용은 이곳에서 확인할 수 있다.