미국 정부 이메일 서비스가 표적 공격에 해킹당함

위협 정보 솔루션 회사인 Mandiant는 중국 해커들이 최근 Barracuda 이메일 보안 게이트웨이를 표적으로 삼아 미국 전역의 정부 및 정부 관련 조직에 과도하게 공격하고 침입했다고 보고했습니다. 제로데이 취약점에 특정 초점을 맞추었습니다.

Mandiant에 따르면, 해킹당한 장치의 거의 3분의 1이 정부 기관에 속하며, 이들 대부분은 2022년 10월과 12월 사이에 발생했습니다.

특히, 북미에 식별된 조직을 포함하여 여러 다른 주, 마을, 지방, 부족, 도시 및 마을 사무소가 이번 캠페인의 표적이 되었습니다.

즉, 이번 캠페인에서 표적이 된 지방 정부는 식별된 모든 영향을 받은 조직의 7% 미만이었습니다. 그러나 미국 기반의 표적과 비교할 때 이는 거의 17%로 급증합니다.

공격자의 동기는 스파이 활동으로 보이며, 공격자는 (UNC4841로 식별됨) 정부의 고위 권한자와 고급 기술 분야에 속한 시스템에 침입했습니다.

이메일 보안 게이트웨이는 Barracuda가 모든 취약한 장치를 원격으로 패치하기 전에 5월 20일에 보안 결함이 보안 게이트웨이 장치에 침입하는 데 사용되고 있다고 사용자에게 알렸습니다.

모든 취약한 장치가 패치된 지 약 10일 후, 회사는 제로데이 취약점이 지난해 10월부터 최소 7개월 동안 공격에 악용되어 알려지지 않은 악성코드를 배포하고 감염된 장치에서 데이터를 훔쳤다고 밝혔습니다.

또한, 회사는 일주일 후 고객에게 감염된 장치를 즉시 교체해야 한다고 경고했으며, 패치된 장치도 포함되어 있으며, 약 5%의 모든 보안 게이트웨이 장치가 손상되었다고 위협 정보 회사가 전했습니다.

읽기: 인스타그램, 가짜 팀 쿡 계정 삭제

위에서 언급한 바와 같이, 공격은 Saltwater 및 Seaspy를 포함한 알려지지 않은 악성코드를 배포했으며, 감염된 장치에 원격으로 접근하기 위해 SeaSlide라는 악성 도구를 사용했습니다.

CISA는 또한 DeathCharge 및 Whirlpool 악성코드로 알려진 Submarine에 대한 정보를 공유했으며, 이는 Mandiant가 고위험 표적이라고 생각하는 감염된 장치의 소수에 대한 회사의 권고 이후 제어를 유지하기 위한 후속 단계의 페이로드로 동일한 공격에서 배포되었습니다.

이는 캠페인이 전 세계적으로 범위를 가졌지만 기회주의적이지 않았으며, 공격자가 표적 네트워크에 대한 접근을 방해할 수 있는 사건을 예상하고 준비할 수 있는 충분한 계획 및 자금을 가지고 있었음을 나타냅니다.

위협 정보 회사의 선임 사건 대응 컨설턴트인 Austin Larsen은 우리가 막대한 자원, 자금 및 노하우를 자랑하는 강력한 적들과 맞서 싸우고 있으며, 이들은 탐지되지 않은 상태에서 글로벌 스파이 캠페인을 성공적으로 실행할 수 있다고 덧붙였습니다. 중국 넥서스 공격자들은 공격을 더욱 영향력 있고, 은밀하며, 효과적으로 개선하고 있습니다.

그렇긴 하지만, Barracuda와 Mandiant는 결함이 패치된 이후 CVE-2023-2868을 통해 감염된 새로운 보안 게이트웨이 장치의 증거를 아직 찾지 못했습니다.

이와 더불어, 지난주 연방 수사국(FBI)은 이러한 패치가 비효율적이라고 경고했으며, 장치가 여전히 진행 중인 공격에서 감염되고 있다고 밝혔습니다.

FBI는 또한 고객에게 감염된 장치를 가능한 한 빨리 분리하고 교체해야 한다고 Barracuda의 경고를 강화했으며, 회사에 네트워크에서 가능한 침입을 조사할 것을 권장하고, 공격자가 지속성을 유지하려는 시도를 방해하기 위해 네트워크 개인 자격 증명, 즉 Active Directory를 변경하고 회전할 것을 촉구했습니다.

또한, 연방 법 집행 기관은 FBI가 모든 침입을 적극적으로 감시하고 있으며 보안 게이트웨이 장치가 이 취약점에 감염되고 취약하다고 간주하고 있다고 말했습니다.

더욱이, 이 기관은 Barracuda에 감염된 ESG 장치가 패치된 장치를 포함하여 의심되는 중국 위협 행위자가 이 결함을 이용하여 지속적인 장치 손상 위험에 처해 있음을 확인했습니다.

읽기: WhatsApp의 최신 업데이트로 사용자가 사진 캡션을 편집할 수 있게 되었습니다: 여기에서 확인하세요.