마이크로소프트는 이란 연계 APT 조직인 MuddyWater가 Zerologon 취약점을 악용하는 사이버 공격에 대해 경고하는 게시물과 일련의 트위터를 게시했다.

CVE-2020-1472로 등록된 Zerologon 취약점은 Netlogon에서의 권한 상승 취약점이다. 공격자는 해당 취약점을 악용해 원격 명령을 수행한다. 또한 Netlogon 인증 프로세스에서 보안 기능을 비활성화 하고 도메인 컨트롤러의 Active Directory에서 컴퓨터 암호를 변경할 수 있다.

Zerologon 공격을 수행하려면 공격자가 대상 네트워크에 액세스 할 수 있어야 하는데, Windows 서버 관리자는 해당 취약점에 의한 위험을 완화하기 위해 2020년 8월 패치 버전을 다운로드 해야한다고 권고하고 있다.

한 편, 마이크로소프트 위협 인텔리전스 센터에 따르면 해당 취약점을 악용한 공격은 9월 13일 이후 급증한 것으로 알려졌다. 또한 마이크로소프트는 이 공격은 MuddyWater, SeedWorm, TeMP.Zagros라고도 알려진 이란의 사이버 스파이 그룹 Mercury의 소행으로 추정했는데, 이들은 17년 말 중동 지역을 표적으로 공격을 시작했다.

Mercury는 자신의 무기고에 새로운 공격 기술을 추가하며 수년에 걸쳐 진화해왔는데, 이번 공격과 관련하여 미국 국토안보부 산하 CISA는 9월 21일 월요일까지 각 정부 기관에 Zerologon 취약점을 해결하도록 명령하는 경고를 발행했다.

[출처 : SecurityAffairs / 10.6.]