지난 금요일, 영국과 미국 정보기관이 공동으로 발표한 새로운 권고에 따르면 공격 방법 공개에 대응하여 러시아 해외정보국(SVR)에 소속된 사이버 요원들이 공격 전술을 바꾼 것으로 알려졌다.
영국 NCSC(National Cyber Security Center)는 “SVR 사이버 운영자가 방어자들의 추가 탐지 능력을 피해 TTP는 변경하여 대응하고 있다”고 언급했고, 여기에는 Sliver라는 오픈 소스 도구를 배포하여 손상된 피해자에 대한 액세스를 유지하고 Microsoft Exchange 서버의 ProxyLogon 결함을 활용하여 악용 후 활동을 수행하는 것이 포함돼 있다고 밝혔다.
또한 이번 발표에는 SVR 소속 APT 조직인 APT29가 미국 및 해외 기관에 침투하기 위한 초기 액세스 포인트로 사용했던 5가지 취약점을 자세히 설명하는 기술 보고서도 함께 제공되었다.
해당 취약점은 아래와 같다.
- CVE-2018-13379 : Fortinet FortiGate VPN
- CVE-2019-9670 : Synacor Zimbra Collaboration Suite
- CVE-2019-11510 : Pulse Security Pulse Connect Security VPN
- CVE-2019-19781 : Citrix Application Delivery Controller Gateway
- CVE-2020-4006 : VMware Workspace ONE Access
한 편, NCSC는 SVR이 코로나부, 싱크탱크, 정책 및 에너지를 목표로 할 뿐만 아니라 2020년 코로나19 백신 등 러시아 해외 정보 이해 관계에 부합하는 목표를 공격 대상으로 삼기도 했다고 밝혔다.
[출처 : 더해커뉴스 / 5.8.]
![[보안뉴스 / 6.7.] 지난해 정부 교체기 안보전문가 대상 악성메일 유포사건, 북한 ‘김수키’ 소행이었다](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181718-500x383.png)
![[보안뉴스 / 6.1.] 렘코스·폼북 등 악성코드 유포 파일 역할… 닷넷 패커의 정체](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-181402-500x383.png)
![[보안뉴스 / 6.5.] 새로운 리눅스 랜섬웨어 블랙수트, 로얄과 유사한 점 많아](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-07-142556-500x383.png)
댓글을 남겨주세요
로그인 후 댓글을 작성할 수 있습니다.