2021.04.21

복수의 첩보 그룹, 펄스 시큐어 VPN의 제로데이 결함을 사용해 기업 해킹…파이어아이

Lucian Constantin | CSO
지난 몇 달 동안 중국 정부와 관련된 것으로 여겨지는 여러 사이버 첩보 그룹이 제로 트러스트 접근(zero-trust access) 제공업체인 펄스 시큐어(Pulse Secure)의 VPN 어플라이언스 취약점을 악용해 미국과 유럽의 기업 네트워크를 침입했다. 일부 결함은 2019~2020년에 발견된 것이지만, 하나의 취약점은 이번 달까지 알려지지 않은 것이었다.  



보안 공급업체 파이어아이의 MDR 및 사고대응부서인 맨디언트(Mandiant) 연구진은 최근 발행한 보고서에서 현재 펄스 시큐어 VPN 장치의 악용과 관련된 12개 악성코드를 추적하고 있다고 밝혔다. 이 보고서는 “이 악성코드들은 펄스 시큐어 장치에 대해 인증 우회, 백도어 접근과 관련이 있지만, 반드시 서로 관련이 있는 것은 아니며, 별도의 조사 과정에서 발견됐다. 여러 공격자가 동일한 장치에 다양한 악성코드를 생성, 배포했을 가능성이 높다”라고 설명했다.

 
펄스 시큐어 VPN 제로데이 취약점 

올해 전 세계의 다양한 국방, 정부, 금융 업체에서의 침해를 조사하는 동안, 맨디언트 팀은 공격자가 관리자 접속 권한을 획득한 펄스 시큐어 VPN 어플라이언스를 추적해 해킹된 환경에서 악의적인 활동을 펼치고 있는 것을 발견했다. 

전문가들은 공격자가 어떻게 관리 자격 증명을 얻었는지 확인할 수 없었기 때문에 펄스 시큐어와 모기업인 아반티(Ivanti)와 연락을 취했다. 조사 결과, 공격자는 지난 2년 동안 패치된 취약점을 사용했을 가능성이 있지만, 이전에는 알려지지 않은 취약점도 사용하고 있었다.
 
CVE-2021-22893으로 추적되는 이 결함은 공격자가 PCS(Pulse Connect Secure) VPN 솔루션의 인증을 우회하고 임의 코드를 실행할 수 있도록 한다. 이 취약점은 CVSS 척도에서 심각도 점수가 10으로 평가된다. 이 결함에 대한 패치는 PCS 서버 버전 9.1R.11.4에 적용될 것으로, 아직 출시되지 않았다. 

출시 때까지 펄스 측은 어플라이언스로 가져올 수 있는 .xml 구성 파일 형식의 해결 방법을 제공했다. 이 파일은 전체 패치가 출시될 때가지 공식 백터를 차단하기 위해 어플라이언스의 윈도우 파일 공유 브라우저 및 펄스 시큐어 콜레버레이션 기능을 비활성화한다. 

이 해결 방법에는 몇 가지 한계가 있다. VPN 어플라이언스가 로드 밸런서 뒤에 있는 경우, 협업 기능을 비활성화하면 밸런서에 영향을 미칠 수 있다. 이런 해결 방법은 PCS 버전 9.0R1~9.0R4.1과 9.1R1~9.1R2에서도 작동하지 않으므로 해당 버전의 소프트웨어를 실행하는 어플라이언스는 패치를 적용하기 전에 어플라이언스를 업그레이드해야 한다. 또한 라이선스 서버에서도 권장되지 않으며, 기업은 이런 서버를 관리 VLAN에 배치하거나 IP 기반 접근 제어를 적용하는 방화벽 뒤에 배치하는 것이 좋다. 

펄스 시큐어는 또한 관리자가 PCS 어플라이언스의 파일 시스템 무결성을 검사해 공격자가 배포한 악의적인 파일 수정이나 추가 파일을 탐지할 수 있는 도구를 출시했다. 


펄스 시큐어 VPN 악성코드 

파이어아이는 여러 APT 그룹이 펄스 시큐어 VPN 어플라이언스 취약점을 악용해 다양한 유형의 악성코드와 지속성 도구를 배포하고 있다고 판단했다. 이 공격 그룹 가운데 하나는 UNC2630으로, 2020년 8월부터 2021년 3월까지 주로 미국 방위산업기지의 조직을 목표로 공격했다. 

파이어아이 연구진은 UNC2630이 중국 정부를 대신해 운영되고 있으며, 자체 기술과 절차가 APT5의 그것과 유사하다고 말했다. 2014년부터 알려진 APT5는 해킹한 하드웨어 기기 또는 기술의 이미지를 통해 항공 우주 및 방산업체를 표적으로 삼는 중국의 사이버 첩보 그룹이다. 

파이어아이는 최근 펄스 시큐어 침해에서 발견된 7가지 악성코드 도구를 UNC2630의 것으로 보고 있다. 이들을 슬로우펄스(SLOWPULSE), 레이디얼펄스(RADIALPULSE), 신블러드(THINBLOOD), 아트리움(ATRIUM), 페이스메이커(PACEMAKER), 슬라이트펄스(SLIGHTPULSE) 및 펄스체크(PULSECHECK)라고 명명했다. 

슬로우펄스는 자격증명을 캡처하고 기존 로그인 과정에서 다양한 형태의 2단계 인증을 우회할 목적으로 해킹된 어플라이언스의 기존 공유 파일을 수정해 배포하는 트로이목마다. 이를 통해 공격자는 캡처된 자격 증명을 사용해 해당 네트워크에서 측면으로 이동할 수 있다. 

레이디얼펄스와 펄스체크는 공격자에게 원격 명령 실행을 제공하기 위해 인터넷에 접근할 수 있는 VPN 어플라이언스에 배포되는 웹 셸이다. 신블러드는 영향을 받는 어플라이언스의 로그 파일에서 증거를 정리하는 데 사용되는 도구다. 

대부분 다른 도구는 손상된 VPN 어플라이언스의 기존 바이너리 파일 또는 스크립트를 수정해 지속성을 유지하는 데 사용된다. 이를 위해 공격자는 어플라이언스의 파일 시스템을 기본 읽기 전용에서 읽기-쓰기 모드로 전환한다. 
 
지난해 10월과 올해 3월 사이에 전세계 정부기관을 해킹하기 위해 PCD 어플라이언스를 표적으로 삼은 두번째 그룹은 UNC2717로 추적된다. 현재 파이어아이는 이 그룹을 특정 정부 또는 알려진 APT 그룹에 연결할 수 있는 충분한 정보가 없다. 이 그룹에서 사용하는 도구는 웹 셸인 하드펄스(HARDPULSE), 셸 명령을 실행할 수 있는 유틸리티인 콰이어트펄스(QUIETPULSE), 자격 증명 수집 스크립트인 펄스점프(PULSEJUMP) 등이다. 

조사 과정에서 파이어아이 전문가는 암호화 작업에 중요한 난수 생성에 영향을 줄 목적으로 오픈SSA 라이브러리를 악의적으로 수정한 사실도 발견했다. 파이어아이는 이 트로이목마 라이브러리를 록픽(LOCKPICK)이라고 이름 붙였지만, 이것이 UNC2717이나 UNC2630의 소행으로 볼만한 충분한 증거가 없다.
 
파이어아이 측은 이런 공격에 대한 스노트(Snort) 및 야라(Yara) 탐지 규칙 모음과 함께 보안팀이 어플라이언스가 해킹됐는지 평가하는데 사용할 수 있는 많은 IoC(Indicators of Compromise), 파일 해시, URL, 파일 이름과 MIRE ATT&CK 기술을 공개했다. 

파이어아이 측은 “기업은 공격자가 사용자 자격 증명을 해킹했는지 여부를 확인하기 위해 사용가능한 포렌식 증거를 조사해야 한다”라고 조언했다. 아반티의 모든 고객은 취약점을 사용할 수 없도록 환경의 모든 비밀번호를 재설정하고 구성을 검토할 것을 권장한다.  editor@itworld.co.kr 


2021.04.21

복수의 첩보 그룹, 펄스 시큐어 VPN의 제로데이 결함을 사용해 기업 해킹…파이어아이

Lucian Constantin | CSO
지난 몇 달 동안 중국 정부와 관련된 것으로 여겨지는 여러 사이버 첩보 그룹이 제로 트러스트 접근(zero-trust access) 제공업체인 펄스 시큐어(Pulse Secure)의 VPN 어플라이언스 취약점을 악용해 미국과 유럽의 기업 네트워크를 침입했다. 일부 결함은 2019~2020년에 발견된 것이지만, 하나의 취약점은 이번 달까지 알려지지 않은 것이었다.  



보안 공급업체 파이어아이의 MDR 및 사고대응부서인 맨디언트(Mandiant) 연구진은 최근 발행한 보고서에서 현재 펄스 시큐어 VPN 장치의 악용과 관련된 12개 악성코드를 추적하고 있다고 밝혔다. 이 보고서는 “이 악성코드들은 펄스 시큐어 장치에 대해 인증 우회, 백도어 접근과 관련이 있지만, 반드시 서로 관련이 있는 것은 아니며, 별도의 조사 과정에서 발견됐다. 여러 공격자가 동일한 장치에 다양한 악성코드를 생성, 배포했을 가능성이 높다”라고 설명했다.

 
펄스 시큐어 VPN 제로데이 취약점 

올해 전 세계의 다양한 국방, 정부, 금융 업체에서의 침해를 조사하는 동안, 맨디언트 팀은 공격자가 관리자 접속 권한을 획득한 펄스 시큐어 VPN 어플라이언스를 추적해 해킹된 환경에서 악의적인 활동을 펼치고 있는 것을 발견했다. 

전문가들은 공격자가 어떻게 관리 자격 증명을 얻었는지 확인할 수 없었기 때문에 펄스 시큐어와 모기업인 아반티(Ivanti)와 연락을 취했다. 조사 결과, 공격자는 지난 2년 동안 패치된 취약점을 사용했을 가능성이 있지만, 이전에는 알려지지 않은 취약점도 사용하고 있었다.
 
CVE-2021-22893으로 추적되는 이 결함은 공격자가 PCS(Pulse Connect Secure) VPN 솔루션의 인증을 우회하고 임의 코드를 실행할 수 있도록 한다. 이 취약점은 CVSS 척도에서 심각도 점수가 10으로 평가된다. 이 결함에 대한 패치는 PCS 서버 버전 9.1R.11.4에 적용될 것으로, 아직 출시되지 않았다. 

출시 때까지 펄스 측은 어플라이언스로 가져올 수 있는 .xml 구성 파일 형식의 해결 방법을 제공했다. 이 파일은 전체 패치가 출시될 때가지 공식 백터를 차단하기 위해 어플라이언스의 윈도우 파일 공유 브라우저 및 펄스 시큐어 콜레버레이션 기능을 비활성화한다. 

이 해결 방법에는 몇 가지 한계가 있다. VPN 어플라이언스가 로드 밸런서 뒤에 있는 경우, 협업 기능을 비활성화하면 밸런서에 영향을 미칠 수 있다. 이런 해결 방법은 PCS 버전 9.0R1~9.0R4.1과 9.1R1~9.1R2에서도 작동하지 않으므로 해당 버전의 소프트웨어를 실행하는 어플라이언스는 패치를 적용하기 전에 어플라이언스를 업그레이드해야 한다. 또한 라이선스 서버에서도 권장되지 않으며, 기업은 이런 서버를 관리 VLAN에 배치하거나 IP 기반 접근 제어를 적용하는 방화벽 뒤에 배치하는 것이 좋다. 

펄스 시큐어는 또한 관리자가 PCS 어플라이언스의 파일 시스템 무결성을 검사해 공격자가 배포한 악의적인 파일 수정이나 추가 파일을 탐지할 수 있는 도구를 출시했다. 


펄스 시큐어 VPN 악성코드 

파이어아이는 여러 APT 그룹이 펄스 시큐어 VPN 어플라이언스 취약점을 악용해 다양한 유형의 악성코드와 지속성 도구를 배포하고 있다고 판단했다. 이 공격 그룹 가운데 하나는 UNC2630으로, 2020년 8월부터 2021년 3월까지 주로 미국 방위산업기지의 조직을 목표로 공격했다. 

파이어아이 연구진은 UNC2630이 중국 정부를 대신해 운영되고 있으며, 자체 기술과 절차가 APT5의 그것과 유사하다고 말했다. 2014년부터 알려진 APT5는 해킹한 하드웨어 기기 또는 기술의 이미지를 통해 항공 우주 및 방산업체를 표적으로 삼는 중국의 사이버 첩보 그룹이다. 

파이어아이는 최근 펄스 시큐어 침해에서 발견된 7가지 악성코드 도구를 UNC2630의 것으로 보고 있다. 이들을 슬로우펄스(SLOWPULSE), 레이디얼펄스(RADIALPULSE), 신블러드(THINBLOOD), 아트리움(ATRIUM), 페이스메이커(PACEMAKER), 슬라이트펄스(SLIGHTPULSE) 및 펄스체크(PULSECHECK)라고 명명했다. 

슬로우펄스는 자격증명을 캡처하고 기존 로그인 과정에서 다양한 형태의 2단계 인증을 우회할 목적으로 해킹된 어플라이언스의 기존 공유 파일을 수정해 배포하는 트로이목마다. 이를 통해 공격자는 캡처된 자격 증명을 사용해 해당 네트워크에서 측면으로 이동할 수 있다. 

레이디얼펄스와 펄스체크는 공격자에게 원격 명령 실행을 제공하기 위해 인터넷에 접근할 수 있는 VPN 어플라이언스에 배포되는 웹 셸이다. 신블러드는 영향을 받는 어플라이언스의 로그 파일에서 증거를 정리하는 데 사용되는 도구다. 

대부분 다른 도구는 손상된 VPN 어플라이언스의 기존 바이너리 파일 또는 스크립트를 수정해 지속성을 유지하는 데 사용된다. 이를 위해 공격자는 어플라이언스의 파일 시스템을 기본 읽기 전용에서 읽기-쓰기 모드로 전환한다. 
 
지난해 10월과 올해 3월 사이에 전세계 정부기관을 해킹하기 위해 PCD 어플라이언스를 표적으로 삼은 두번째 그룹은 UNC2717로 추적된다. 현재 파이어아이는 이 그룹을 특정 정부 또는 알려진 APT 그룹에 연결할 수 있는 충분한 정보가 없다. 이 그룹에서 사용하는 도구는 웹 셸인 하드펄스(HARDPULSE), 셸 명령을 실행할 수 있는 유틸리티인 콰이어트펄스(QUIETPULSE), 자격 증명 수집 스크립트인 펄스점프(PULSEJUMP) 등이다. 

조사 과정에서 파이어아이 전문가는 암호화 작업에 중요한 난수 생성에 영향을 줄 목적으로 오픈SSA 라이브러리를 악의적으로 수정한 사실도 발견했다. 파이어아이는 이 트로이목마 라이브러리를 록픽(LOCKPICK)이라고 이름 붙였지만, 이것이 UNC2717이나 UNC2630의 소행으로 볼만한 충분한 증거가 없다.
 
파이어아이 측은 이런 공격에 대한 스노트(Snort) 및 야라(Yara) 탐지 규칙 모음과 함께 보안팀이 어플라이언스가 해킹됐는지 평가하는데 사용할 수 있는 많은 IoC(Indicators of Compromise), 파일 해시, URL, 파일 이름과 MIRE ATT&CK 기술을 공개했다. 

파이어아이 측은 “기업은 공격자가 사용자 자격 증명을 해킹했는지 여부를 확인하기 위해 사용가능한 포렌식 증거를 조사해야 한다”라고 조언했다. 아반티의 모든 고객은 취약점을 사용할 수 없도록 환경의 모든 비밀번호를 재설정하고 구성을 검토할 것을 권장한다.  editor@itworld.co.kr 


X