2024-12-22 01:00 (일)
MS, 중국발 '코버트네트워크-1658' 봇넷 경고…”라우터 취약점 노려 비밀번호 도용 주의”
상태바
MS, 중국발 '코버트네트워크-1658' 봇넷 경고…”라우터 취약점 노려 비밀번호 도용 주의”
  • 길민권 기자
  • 승인 2024.11.04 16:54
이 기사를 공유합니다

마이크로소프트( Microsoft)가 중국의 위협 그룹 '스톰-0940(Storm-0940)'이 운영하는 봇넷 '코버트네트워크-1658(CovertNetwork-1658)'에 대한 경고를 발표했다. 이 봇넷, 일명 '쿼드7(Quad7)' 또는 '7777', 은 다양한 소호(SOHO, 소규모 사무실/가정)용 라우터와 VPN 기기를 감염시켜 마이크로소프트 계정을 겨냥한 고도의 비밀번호 도용 공격을 감행하고 있다. 사이버 보안 전문가들은 이 사건을 통해 중국 국가 지원 해킹 그룹들이 중요한 인프라와 클라우드 서비스를 타깃으로 삼는 공격 수법이 한층 정교해지고 있음을 보여준다고 분석했다.

코버트네트워크-1658은 최소 2021년부터 활동해 왔으며, 라우터와 VPN 기기를 감염시켜 이를 노드로 사용해 비밀번호 스프레이 공격을 수행하고 있다. 마이크로소프트에 따르면 스톰-0940은 북미 및 유럽의 다양한 조직을 타깃으로 마이크로소프트 365 계정 로그인 정보를 탈취하는 데 집중하고 있다. 주요 표적은 정부 기관, 로펌, 비정부기구(NGO), 싱크탱크 등이다.

코버트네트워크-1658은 주로 TP-링크(TP-Link), 자이셀(Zyxel), 에이수스(Asus), 액센트라(Axentra), 디링크(D-Link), 넷기어(NETGEAR)와 같은 브랜드의 라우터 및 VPN 기기를 감염시키며, 이들 장치는 알려진 또는 미확인 취약점을 통해 원격 코드 실행 권한을 얻는 방식으로 제어된다. 감염된 장치에는 TCP 포트 7777을 통해 원격 접근이 가능한 백도어가 설치된다.

코버트네트워크-1658의 주요 공격 기법은 '비밀번호 스프레이'로, 이는 제한된 횟수의 로그인 시도를 여러 계정에 분산해 시도하는 방식이다. 이는 탐지를 최소화하면서 성공 가능성을 극대화하는 효과가 있다. 이 봇넷은 하루에 계정당 한 번만 로그인 시도를 하여 자동화된 방어 체계가 악성 활동으로 인식하기 어렵게 만든다.

이 봇넷은 약 8,000개의 감염된 장치로 구성된 네트워크를 통해 비밀번호 스프레이 공격을 수행한다. 마이크로소프트 위협 정보팀에 따르면, 이 중 20% 정도의 장치만 실제로 비밀번호 스프레이 공격에 사용되고 있어, 자원의 효율적인 사용이 봇넷의 스텔스성과 탄력성을 더해주고 있다.

사이버 보안 정보 업체 세코이아(Sekoia)는 2024년 9월, 이 공격이 마이크로소프트 365 계정을 겨냥하고 있으며 계정 액세스는 종종 네트워크 내 횡적 이동, 원격 액세스 트로이 목마(RAT) 배포, 데이터 유출 등의 후속 활동으로 이어진다고 보고했다. 마이크로소프트는 공격자들이 탈취된 자격 증명을 신속히 활용하는 "빠른 작전 인수"가 이뤄지고 있다고 강조했다. 봇넷 운영자와 스톰-0940이 긴밀히 협력하고 있어 유효한 자격 증명이 획득되면 몇 시간 내로 조직을 침투할 수 있다.

공개가 이루어진 후 코버트네트워크-1658의 인프라가 급격히 감소하는 현상이 관찰되었으며, 이는 스톰-0940과 그 운영자들이 새로운 인프라를 찾고 공격 흔적을 바꾸어가며 탐지를 회피하려 한다는 것을 시사한다. 이는 지속적으로 변하는 고도화된 위협 행위자들이 탐지 회피를 위해 전술을 계속 조정하고 있음을 보여준다.

마이크로소프트는 코버트네트워크-1658의 모듈형 설계가 대규모 비밀번호 스프레이 캠페인을 신속히 확장할 수 있으며, 결과적으로 여러 조직에 대한 자격 증명 탈취 및 초기 접근 가능성이 크게 증가할 수 있다고 경고했다. 또한, 손쉽게 탈취된 자격 증명의 신속한 인수 및 네트워크 침투로 인해 여러 부문과 지역에서 광범위한 계정 침해 가능성이 높아질 수 있다고 강조했다.

사이버 보안 전문가들은 이번 비밀번호 스프레이 공격을 통해 비밀번호 관리의 중요성과 고급 위협 모니터링 시스템의 필요성을 강조했다. MFA(다단계 인증) 도입이 필수적이며, 특히 클라우드 서비스와 같은 고위험 환경에서 더욱 중요하다. 정기적인 라우터 및 VPN 장치의 패치 및 펌웨어 업데이트는 코버트네트워크-1658이 알려진 및 제로데이 취약점을 악용하는 점을 감안할 때 필수적이다.

또한, 전문가들은 비밀번호에만 의존하는 보안 방식은 비밀번호 스프레이 공격에 취약할 수 있다고 경고하며, 제로 트러스트 원칙을 적용해 사용자의 신원과 장치의 행동을 지속적으로 확인하는 추가 방어 체계를 권장하고 있다.

조직들은 보안 제공업체의 경고를 주의 깊게 확인하고 네트워크 침입 시 신속한 대응 계획을 마련하는 것이 중요하다. 또한, 직원들에게 피싱 시도와 비정상적인 로그인 경고를 인식할 수 있도록 정기적인 보안 교육을 실시하는 것도 효과적인 예방 방법 중 하나다라고 조언하고 있다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★