기술 지원
문서
로그인
문의하기
바라쿠다 제로데이 결함: 정부 및 군대에 대한 위험
와자핫 라자
2023년 9월 14일 TuxCare 전문가 팀
중국과 연계된 것으로 의심되는 해킹 조직이 최근 바라쿠다 네트웍스 이메일 보안 게이트웨이(ESG) 장치에서 새로 발견된 제로데이 취약점을 악용했습니다. 이 바라쿠다 제로데이 결함 는 정부, 군사, 방위, 항공우주, 하이테크 산업 및 통신 산업에 영향을 미치는 전 세계적인 파급력을 가지고 있습니다. 이 사이버 보안 문제의 구체적인 내용과 잠재적인 영향에 대해 자세히 알아보세요.
수수께끼의 범인: UNC4841
잘 알려진 위협 인텔리전스 회사인 맨디언트는 중국 기반 해킹 그룹인 중국 기반 해킹 그룹 "UNC4841." 이 위협 행위자는 매우 적응력이 뛰어나고 전략을 변경하여 표적에 지속적으로 접근할 수 있다고 설명합니다. UNC4841은 창의적인 멀웨어를 사용하여 우선 순위가 높은 조직에 침입하고 다음과 같은 작업을 수행했습니다. 악용했습니다. 바라쿠다 제품의 제로 데이 취약점.
놀랍게도 정부 기관이 이번 해킹에 노출된 조직의 약 3분의 1을 이 해킹에 노출된 조직의 약 3분의 1을 차지합니다. 하지만 중국 본토에 있는 디바이스에서 첫 번째 침해가 발견되어 공격의 발원지가 어디인지 밝혀졌습니다.
바라쿠다 제로 데이 결함: CVE-2023-2868 익스플로잇
이 작동 방식은 정부 및 군대에 대한 사이버 보안 위협 를 사용하는 것입니다. CVE-2023-2868 을 사용하여 멀웨어를 심고 익스플로잇 후 작업을 수행하는 것입니다. 이 공격은 수정 노력에도 불구하고 지속성을 보장하기 위해 일부 경우 SUBMARINE(DEPTHCHARGE라고도 함)과 같은 추가 멀웨어를 배포하는 것으로 이어졌습니다.
구정 전후로 활동이 감소했다가 두 차례 급증한 것은 이번 캠페인에서 주목할 만한 요소입니다. 첫 번째 첫 번째 바라쿠다 제로데이 결함 공개 2023년 5월 23일에 발생했습니다.에 발생했으며, 두 번째 제로데이 결함 공개는 두 번째는 2023년 6월 초에 발생했습니다.. 후자의 급증 기간 동안 공격자들은 SKIPJACK, DEPTHCHARGE, FOXTROT/FOXGLOVE를 포함한 추가 멀웨어 제품군을 배포하여 접속을 유지하려고 시도했습니다.
스킵잭은 지정된 이메일 헤더와 제목을 모니터링하는 수동형 임플란트인 반면, 딥차지는 바라쿠다 SMTP(BSMTP) 데몬에 통합되어 암호화된 명령을 실행합니다. 반면, FOXTROT은 FOXGLOVE를 통해 실행되는 C++ 임플란트로 키보드 캡처, 셸 명령 실행, 파일 전송, 리버스 셸 구성과 같은 작업을 수행하도록 설계되었습니다.
빠른 배포 DEPTHCHARGE 의 빠른 배포 바라쿠다 보안 업데이트 및 패치 노출은 UNC4841이 철저한 계획과 막대한 리소스를 보유하고 있다는 것을 의미합니다. 이 작전은 기회주의적이지 않은 것으로 보이며, 위협 행위자가 잠재적인 중단을 예측하고 탐색할 수 있는 능력을 갖추고 있음을 강조합니다.
제로데이 취약점이 산업에 미치는 영향: 중국의 개입
DEPTCHARGE 감염된 약 2.64퍼센트 감염된 디바이스의 약 2.64%를 감염시켰으며, 미국 및 외국 정부뿐만 아니라 하이테크 및 정보 기술 기업에도 영향을 미쳤습니다. 바라쿠다 ESG에 국한된 것은 아니지만, FOXTROT과 FOXGLOVE는 정부 관련 조직을 표적으로 삼기 위해 선택적으로 사용되었습니다.
UNC4841은 내부 정찰과 위태로운 상황에서의 측면 이동에 능숙한 것으로 입증되었습니다. 특히, 이들은 마이크로소프트 아웃룩 웹 액세스(OWA)를 사용하는 조직 내 사서함에 대한 무단 액세스. 또한 영향을 받은 일부 기기의 하위 집합에 임의의 문자로 계정을 설정하여 대체 원격 액세스 경로를 제공했습니다.
UNC2286이라는 다른 클러스터와의 인프라 유사성은 UNC4841과 중국 간의 연관성을 강조합니다. UNC2286은 또한 중국 스파이 프로젝트 FamousSparrow 및 GhostEmperor. 이에 비추어 볼 때 군사 부문 바라쿠다 보안 위험을 고려할 때, FBI는 지속적인 위협으로 인해 영향을 받은 고객에게 가능한 한 빨리 ESG 장비를 교체할 것을 권고했습니다.
결론
드디어, UNC4841의 행동은 끊임없이 변화하는 사이버 첩보의 영역을 보여줍니다.. 특정 영역을 표적으로 삼는 이들의 민첩성과 능력은 현대 사이버 보안 위협의 복잡성을 강조합니다. 조직, 특히 민감한 산업에 속한 조직은 주의를 기울이고 효과적인 보안 조치의 우선순위를 정하여 다음과 같은 위험을 피해야 합니다. 중요 인프라 사이버 보안 위험.
디지털 세상이 진화함에 따라 제로데이 공격으로부터 정부 네트워크를 보호하고 취약점으로부터 정부 네트워크를 보호하는 것이 중요해졌습니다. 이러한 문제를 해결하면 다음과 같은 조직에 도움이 될 수 있습니다. 지적 재산을 보호하고 새로운 위협에 대처할 수 있습니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 Spiceworks.
