Home > Àüü±â»ç

UNC5325 ±×·ì, À̹ÝƼ Á¦·Îµ¥ÀÌ Ãë¾àÁ¡ °ø°Ý

ÀÔ·Â : 2024-03-05 10:27
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
À̹ÝƼ Connect Secure VPN°ú ³×Æ®¿öÅ© Á¢±ÙÁ¦¾î ¼Ö·ç¼Ç Ãë¾àÁ¡ ¾Ç¿ë
Á¤»óÄڵ忡 ¾Ç¼ºÆÄÀÏ »ðÀÔÇÏ°í ´Ù¾çÇÑ ¸ÂÃãÇü ¾Ç¼º ÇÁ·Î±×·¥ »ç¿ë


[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] 2024³â 1¿ù 10ÀÏ, IT ÀÎÇÁ¶ó¿Í º¸¾È ¼ÒÇÁÆ®¿þ¾î ¹× ¼­ºñ½º¸¦ Á¦°øÇÏ´Â À̹ÝƼ(Ivanti)°¡ ÀÚ»çÀÇ Connect Secure VPN(ÀÌÀü ¸íĪ: Pulse Secure)°ú ³×Æ®¿öÅ© Á¢±Ù Á¦¾î(NAC) ¼Ö·ç¼ÇÀÎ Policy Secure¿¡¼­ ¹ß°ßÇÑ µÎ °¡Áö Ãë¾àÁ¡ÀÎ CVE-2023-46805¿Í CVE-2024-21887À» ¹ßÇ¥ÇÑ ¹Ù ÀÖ´Ù.

[À̹ÌÁö = gettyimagesbank]


ÇØ´ç Ãë¾àÁ¡À» ¼º°øÀûÀ¸·Î ¾Ç¿ëÇÒ °æ¿ì ÀÎÁõ ¿ìȸ ¹× ¸í·É ÁÖÀÔÀ» ÅëÇØ Ãß°¡ ħÇظ¦ ÇÒ ¼ö ÀÖ´Ù. ¸Çµð¾ðÆ®´Â 2023³â 12¿ùºÎÅÍ ÀÌ Ãë¾àÁ¡µéÀ» ¾Ç¿ëÇØ Á¦·Îµ¥ÀÌ °ø°ÝÀ» ¼öÇàÇÏ´Â ¡®UNC5221¡¯¸¦ ÃßÀûÇÏ°í ÀÖ´Ù.

​À̹ÝƼ´Â À̹ø Ä·ÆäÀο¡¼­ ¾Ç¿ëÇÑ Ãë¾àÁ¡À» ¼³¸íÇÏ´Â ºí·Î±× Æ÷½ºÆðú ¿ÏÈ­ Á¶Ä¡¸¦ ¹ßÇ¥Çß°í, °í°´ÀÌ ÇöÀç ¿î¿µ ÁßÀÎ ½Ã½ºÅÛÀÌ ¿µÇâÀ» ¹Þ¾Ò´ÂÁö È®ÀÎÇÒ ¼ö ÀÖµµ·Ï Áö¿øÇÏ°í ÀÖ´Ù. À̹ÝƼ´Â ÇöÀç Ãë¾àÁ¡ ÆÐÄ¡¸¦ °³¹ß ÁßÀ̸ç, ÇâÈÄ ¾÷µ¥ÀÌÆ® ³¯Â¥ ¹× Ãë¾àÁ¡ °ü·Ã Á¤º¸ ÂüÁ¶¸¦ À§ÇØ À̹ÝƼÀÇ KB(Knowledge Base) ¹®¼­ ÂüÁ¶¸¦ ±ÇÀåÇÏ°í ÀÖ´Ù.

​°ø°ÝÀÚ´Â Connect Secure VPN°ú Policy Secure ÀåºñÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇØ °ø°ÝÇß´Ù. °ø°Ý¿¡ ¾²ÀÌ´Â ´Ù¼¸ °¡Áö ÁÖ¿ä ¾Ç¼º ÇÁ·Î±×·¥ Æйи®(Malware Families)´Â ÇØÄ¿°¡ À̹ÝƼ ÀåºñÀÇ ÀÎÁõÀ» ¿ìȸÇÏ°í ¹éµµ¾î¸¦ ÅëÇØ Á¢±ÙÇÒ ¼ö ÀÖ´Â ¹ßÆÇÀ» Á¦°øÇÑ´Ù. ¶ÇÇÑ, Ãß°¡ °ø°Ý µµ±¸µéµµ ¹ß°ßµÆ´Ù.

[ÀÚ·á=¸Çµð¾ðÆ®]


ħÅõ ÈÄ È°µ¿
CVE-2023-46805(ÀÎÁõ ¿ìȸ)¿Í CVE-2024-21887(¸í·É ÁÖÀÔ) Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý¿¡¼­ UNC5221Àº ´Ù¾çÇÑ ¸ÂÃãÇü ¾Ç¼º ÇÁ·Î±×·¥µéÀ» »ç¿ëÇß´Ù. À̵é Áß ÀϺδ Connect Secure VPNÀÇ Á¤»ó ÆÄÀÏ¿¡ ¾Ç¼º Äڵ带 »ðÀÔÇÏ´Â ¹æ½ÄÀ¸·Î ÀÛµ¿Çß´Ù.

UNC5221Àº PySoxy Åͳθµ ¼ÒÇÁÆ®¿þ¾î¿Í BusyBox¸¦ »ç¿ëÇØ Ä§Åõ ¼º°ø ÈÄ ÈÄ¼Ó È°µ¿À» Çß´Ù. ÀåÄ¡ÀÇ ÀϺδ ÆÄÀϽýºÅÛÀÌ Àбâ Àü¿ëÀ̾ú´Âµ¥, ÀÌ·± °æ¿ì UNC5221Àº Perl ½ºÅ©¸³Æ®ÀÎ ¡®sessionserver.pl¡¯·Î Àбâ/¾²±â ¸ðµå·Î ÆÄÀϽýºÅÛÀ» ´Ù½Ã ¸¶¿îÆ®Çß´Ù. À̸¦ ÅëÇØ ÇÕ¹ýÀûÀÎ Connect Secure ÆÄÀÏ¿¡ À¥¼ÐÀÎ LIGHTWIRE, ½© ½ºÅ©¸³Æ® µå·ÎÆÛÀÎ THINSPOOL, ´Ù¸¥ ÈÄ¼Ó µµ±¸µéÀ» ¼³Ä¡ÇÒ ¼ö ÀÖ¾ú´Ù.

THINSPOOLÀº UNC5221ÀÌ À̹ÝƼ ÀåÄ¡¿¡ Áö¼ÓÇؼ­ ³²¾Æ ÀÖ°í ŽÁö¸¦ ÇÇÇÏ´Â µ¥ Áß¿äÇÑ ¿ªÇÒÀ» ÇÑ´Ù. »Ó¸¸ ¾Æ´Ï¶ó LIGHTWIRE À¥¼ÐÀ» óÀ½ ¼³Ä¡ÇÏ´Â µ¥¿¡µµ »ç¿ëµÈ´Ù. LIGHTWIRE¿Í WIREFIRE À¥¼ÐÀº UNC5221°¡ Connect Secure VPN ÀåÄ¡¿¡ °è¼Ó Á¢±ÙÇÒ ¼ö ÀÖ´Â °æ·Î¸¦ Á¦°øÇÑ´Ù. ÀÌ´Â ¿ì¿¬È÷ Ãë¾àÁ¡À» ¹ß°ßÇØ Ä§ÀÔÇÏ´Â ´Ü¼øÇÑ °ø°ÝÀÌ ¾Æ´Ï¶ó ÆÐÄ¡°¡ ³ª¿À´õ¶óµµ ƯÁ¤ ´ë»óÀÇ È¯°æ¿¡¼­ °è¼Ó È°µ¿ÇÏ·Á´Â UNC5221ÀÇ Àǵµ¸¦ Àß º¸¿©ÁØ´Ù. ¶ÇÇÑ, WARPWIRE ÀÚ¹Ù½ºÅ©¸³Æ®´Â »ç¿ëÀÚÀÇ ·Î±×ÀÎ Á¤º¸¸¦ Æ÷ÇÔÇØ UNC5221ÀÌ Ãß°¡ÀûÀÎ ³×Æ®¿öÅ© ħÅõ ¶Ç´Â Á¤º¸ ¼öÁý È°µ¿À» ¼öÇàÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù.

[ÀÚ·á=¸Çµð¾ðÆ®]


¸ÂÃãÇü ¾Ç¼º ÇÁ·Î±×·¥
¡âZIPLINE ¹éµµ¾î
ZIPLINEÀº libsecure.so ÆÄÀÏ¿¡¼­ ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» °¡·Îä±â À§ÇØ ÇÔ¼ö¸¦ ´ëüÇÏ´Â ¹éµµ¾î´Ù. ÀÌ ¹éµµ¾î°¡ ÇÔ¼ö¸¦ È£ÃâÇÒ ¶§ Á¤»óÀûÀÎ libcÀÇ ÇÔ¼ö¸¦ ¸ÕÀú ã¾Æ ¿¬°áÇϸé ZIPLINEÀº ¡®web¡¯À̶ó´Â ÇÁ·Î¼¼½º À̸§À» È®ÀÎÇÑ´Ù.

¸¸¾à ¿¬°áµÈ È£½ºÆ®¿¡¼­ ¹ÞÀº µ¥ÀÌÅÍ°¡ ¡®SSH-2.0-OpenSSH_0.3xx.¡¯¶ó´Â ¹®ÀÚ¿­°ú ÀÏÄ¡Çϸé ZIPLINEÀº ¾Ç¼º È°µ¿À» ½ÃÀÛÇÑ´Ù. ÀÌ ¹éµµ¾î´Â ¾ÏȣȭµÈ ¸í·ÉÀ» Æ÷ÇÔÇÑ Çì´õ¸¦ ¹Þ°í, À̸¦ ½ÇÇàÇÑ´Ù. ​

¡âTHINSPOOL µå·ÎÆÛ
THINSPOOLÀº ½© ½ºÅ©¸³Æ®·Î ¸¸µç ÇÁ·Î±×·¥À¸·Î Á¤»óÀûÀÎ Connect Secure VPN ÆÄÀÏ¿¡ LIGHTWIRE¶ó´Â À¥¼ÐÀ» »ðÀÔÇÑ´Ù. ÀÌ µµ±¸´Â ½Ã½ºÅÛ ¾÷µ¥ÀÌÆ® ÈÄ¿¡µµ Á¤»ó ÆÄÀÏ¿¡ ¾Ç¼º À¥¼Ð Äڵ带 ´Ù½Ã »ðÀÔÇØ UNC5221ÀÌ Ä§ÅõÇÑ ÀåÄ¡¿¡ °è¼Ó ³²¾Æ ÀÖÀ» ¼ö ÀÖ´Â ¹ßÆÇ ¿ªÇÒÀ» ÇÑ´Ù. THINSPOOLÀº À̹ÝƼÀÇ ½Ã½ºÅÛ ¹«°á¼º °Ë»ç¸¦ ÇÇÇÏ·Á ÇßÁö¸¸, ÀÌ ½Ãµµ´Â ½ÇÆÐÇÑ °ÍÀ¸·Î ³ªÅ¸³µ´Ù.

¡âLIGHTWIRE¿Í WIREFIR À¥¼Ð
LIGHTWIRE´Â Perl CGI ¾ð¾î·Î ¸¸µç À¥¼Ð·Î Connect Secure VPNÀÇ Á¤»ó ÆÄÀÏ¿¡ Æ÷ÇԵǾî ÀÓÀÇÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù. ÀÌ À¥¼ÐÀº ¸Å°³º¯¼ö¿Í ¿äûÀ» °¡·Îæ´Ù. ¿©±â¼­ ¡®compid¡¯´Â ÀÎÄÚµùµÇ°í ¾ÏȣȭµÈ µ¥ÀÌÅ͸¦ ´ã°í ÀÖ´Ù. ÀÌ Çص¶µÈ µ¥ÀÌÅÍ´Â Perl ÄÚµå·Î Çؼ®µÅ ½ÇÇàµÈ´Ù.

WIREFIRE´Â PythonÀ¸·Î ÀÛ¼ºÇÑ À¥¼Ð·Î Connect Secure VPN¿¡ Æ®·ÎÀÌ ¸ñ¸¶ ÇüÅ·Π»ðÀԵȴÙ. ÀÌ À¥¼ÐÀº ħÇØ Àåºñ¿¡ ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÏ°í, ÀÓÀÇÀÇ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

ÀÎÁõ Àü¿¡ »ðÀÔµÈ ·ÎÁ÷Àº ¡®/api/v1/cav/client/visits¡¯ ÁÖ¼Ò·Î ¿À´Â ƯÁ¤ HTTP POST ¿äû¿¡ ¹ÝÀÀÇÑ´Ù. ¸¸¾à formdata Ç׸ñ¿¡ ¡®file¡¯ÀÌ Á¸ÀçÇϸé, À¥½©Àº ÀÌ ÆÄÀÏ ³»¿ëÀ» ÀåÄ¡¿¡ ÁöÁ¤µÈ ÆÄÀÏ À̸§À¸·Î ÀúÀåÇÑ´Ù.

ÆÄÀÏÀÌ ¾ø´Â °æ¿ì À¥¼ÐÀº GIF Çì´õ ÀÌÈÄÀÇ ¿øº» µ¥ÀÌÅ͸¦ µðÄÚµù, º¹È£È­ÇÏ°í zlib ¾ÐÃàÀ» ÇØÁ¦ÇÑ µÚ ¼­ºê ÇÁ·Î¼¼½º·Î ½ÇÇàÇÑ´Ù. ÀÌ·¸°Ô ½ÇÇàÇÑ ÇÁ·Î¼¼½ºÀÇ °á°ú´Â ´Ù½Ã zlibÀ¸·Î ¾ÐÃàµÇ°í AES ¾Ïȣȭ°¡ µÈ ´ÙÀ½ Base64 ÀÎÄÚµùÀ» °ÅÃÄ ¡®message¡¯ Çʵ带 Æ÷ÇÔÇÑ JSON ÇüÅ·ΠHTTP 200 OK ÀÀ´äÀ¸·Î Àü¼ÛµÈ´Ù.

¡âWARPWIRE ÀÚ°ÝÁõ¸í ¼öÁý µµ±¸
WARPWIRE´Â ÀÚ¹Ù½ºÅ©¸³Æ®·Î ÀÛ¼ºÇÑ ÀÚ°ÝÁõ¸í Å»Ãë µµ±¸·Î Á¤»óÀûÀÎ Connect Secure VPN ÆÄÀÏ¿¡ Æ÷ÇԵŠÀÖ´Ù. ÀÌ µµ±¸´Â »ç¿ëÀÚ°¡ À¥ ·Î±×ÀÎÀ» ÅëÇØ ¿ø°Ý µ¥½ºÅ©Åé ÇÁ·ÎÅäÄÝ(RDP) °°Àº ·¹À̾î 7(Layer 7) ¾ÖÇø®ÄÉÀ̼ǿ¡ Á¢±ÙÇÒ ¶§ ÀÔ·ÂÇÏ´Â ¾ÆÀ̵ð¿Í ºñ¹Ð¹øÈ£ °°Àº ÀÏ¹Ý ÅؽºÆ® Çü½ÄÀÇ ÀÚ°ÝÁõ¸í Á¤º¸¸¦ ¸ñÇ¥·Î »ï´Â´Ù. WARPWIRE´Â ÀÌ Á¤º¸¸¦ Æ÷ÂøÇØ ÇÔ¼ö¸¦ »ç¿ëÇØ ÀÎÄÚµùÇÑ ÈÄ C&C ¼­¹ö·Î HTTP GET ¿äûÀ» ÅëÇØ Àü¼ÛÇÑ´Ù.

UNC5221ÀÇ È°µ¿Àº ½ºÆÄÀÌ ¸ñÀûÀÇ Ä·ÆäÀÎÀÏ °¡´É¼ºÀÌ ³ô´Ù. UNC5221Àº ÁÖ·Î °ø½Ä Áö¿øÀÌ Á¾·áµÈ Cyberoam VPN ÀåÄ¡µéÀ» C&C ÀÎÇÁ¶ó·Î È°¿ëÇß´Ù. ÀÌ ÀåÄ¡µéÀº ´ëºÎºÐ ÇÇÇØÀÚ°¡ À§Ä¡ÇÑ ±¹°¡ ¾È¿¡ ÀÖ¾ú´Ù. ÀÌ´Â À§Çù ÇàÀ§ÀÚ°¡ ŽÁö¸¦ ÇÇÇÏ´Â µ¥ µµ¿òÀÌ µÇ¾úÀ» °ÍÀ¸·Î º¸ÀδÙ.

UNC5221ÀÇ È°µ¿Àº ³×Æ®¿öÅ© ¿§Áö¸¦ °ø°ÝÇÏ°í, ±×°÷¿¡¼­ È°µ¿À» Áö¼ÓÇÏ´Â °ÍÀÌ ½ºÆÄÀ̵鿡°Ô ¿©ÀüÈ÷ ¸Å·ÂÀûÀÌ°í ½ÇÇà¿¡ ¿Å±æ ¼ö ÀÖ´Â Àü·«À̶ó´Â °ÍÀ» º¸¿©ÁØ´Ù. Á¦·Îµ¥ÀÌ Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý, ¿§Áö ÀåÄ¡ ħÅõ, ƯÁ¤ ÀåÄ¡¸¦ ħÇØÇØ C&C ÀÎÇÁ¶ó·Î È°¿ë, Á¤»ó ÆÄÀÏ¿¡ Äڵ带 »ðÀÔÇÏ´Â µîÀÇ Å½Áö ȸÇÇ Àü·«Àº ½ºÆÄÀÌ È°µ¿°¡µéÀÇ ÁÖ¿ä ¼ö´ÜÀÌ µÆ´Ù.

[ÀÚ·á=¸Çµð¾ðÆ®]


À̹ÝƼÀÇ ÀåÄ¡¸¦ »ç¿ëÇÏ´Â ±â¾÷Àº ¿ÏÈ­ Á¶Ä¡¸¦ °¡´ÉÇÑ ÇÑ »¡¸® ÃëÇÏ°í, ÆÐÄ¡ ¹ßÇ¥ ÀÏÁ¤ °øÁö¸¦ ÁÖ½ÃÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, À̹ÝƼiÀÇ ¹«°á¼º °Ë»ç µµ±¸(ICT)¿¡ ´ëÇÑ Á¤º¸µµ ÂüÁ¶ÇØ¾ß ÇÑ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)