https://apple.news/AZWSAaseJSmC-tW7WATK7Og
러시아 해커들이 윈도우 사용자를 상대로 한 지속적인 해킹 공격에 대해 마이크로소프트가 경고했습니다. 마이크로소프트의 위협 인텔리전스 연구원들은 러시아 국가 지원 해커들이 윈도우 사용자들을 상대로 자격 증명을 훔치고 백도어를 설치하는 데 사용되는 맞춤형 도구를 사용해 왔다고 경고했습니다.
이 소식의 중요성(Why it matters): 이번에 보고된 윈도우를 대상으로 한 공격은 러시아 GRU 군사정보국 산하 군부대 26165와 연계된 것으로 알려진 APT28 또는 Fancy Bear 해커 그룹에 의해 자행되고 있습니다. 이는 국가 지원 해커 그룹에 의한 지속적이고 광범위한 사이버 위협이 존재함을 보여주는 사례입니다.
- 마이크로소프트는 이들 해커 그룹을 Forest Blizzard로 추적하고 있으며, 미국과 서유럽, 우크라이나의 정부, 교육, 운송 분야 조직들을 상대로 GooseEgg라는 이름의 악용 도구를 사용하고 있다고 밝혔습니다.
상황 설명(Background): APT28 해커들은 적어도 2020년 6월부터, 혹은 2019년 4월부터 GooseEgg를 사용해 온 것으로 보입니다. 이들은 주로 전략적 정보 수집 대상을 겨냥하고 있습니다.
작동 방식(How it works): 겉보기에는 비교적 단순한 런처 애플리케이션으로 보이는 GooseEgg는 사실 윈도우 프린트 스풀러 서비스의 오래된 취약점을 악용하는 공격자들의 손에 매우 위험한 도구가 될 수 있습니다.
- 문제의 취약점 CVE-2022-38028은 2022년 10월 패치 화요일에 수정되었으며, 처음에는 NSA에 의해 보고되었습니다.
- GooseEgg는 자바스크립트 제약 파일을 수정하고 이를 SYSTEM 수준 권한으로 실행함으로써 패치되지 않은 취약점을 악용합니다.
세부 내용(The details): 마이크로소프트 위협 인텔리전스 보고서에 따르면 GooseEgg는 명령줄에 지정된 다른 애플리케이션을 상승된 권한으로 실행할 수 있어, 위협 행위자가 원격 코드 실행, 백도어 설치, 침해된 네트워크 내 측면 이동 등 후속 목표를 지원할 수 있다고 합니다.
대응 방안(What to watch): 취약점을 가능한 한 빨리 패치하는 것이 중요합니다. CVE-2022-38028 윈도우 프린트 스풀러 취약점 외에도 GooseEgg는 2021년에 처음 공개된 PrintNightmare 취약점과 함께 사용될 수 있습니다.
- APT28 해커들이 악용한 것으로 알려진 추가 취약점으로는 CVE-2023-23397, CVE-2021-34527, CVE-2021-1675 등이 있습니다.
- 마이크로소프트는 이번 공격을 완화하기 위해 CVE-2022-38028 보안 업데이트를 적용할 것을 권고하고 있습니다. 마이크로소프트 디펜더 안티바이러스는 Forest Blizzard의 특정 기능을 HackTool:Win64/GooseEgg로 탐지합니다.
댓글 영역
획득법
① NFT 발행
작성한 게시물을 NFT로 발행하면 일주일 동안 사용할 수 있습니다. (최초 1회)
② NFT 구매
다른 이용자의 NFT를 구매하면 한 달 동안 사용할 수 있습니다. (구매 시마다 갱신)
사용법
디시콘에서지갑연결시 바로 사용 가능합니다.