외신에 따르면, 중국 해커들이 미쓰비시전기 해킹 공격에 트렌드마이크로 OfficeScan 바이러스 백신에 대한 제로데이를 사용한 것으로 밝혀졌다.
트렌드마이크로는 이 취약점을 패치했지만 미쓰비시전기 이외에 다른 곳에 제로데이가 사용되었는지에 대해서는 언급하지 않았다.
저번 주 월요일 미쓰비시 해킹에 대한 소식이 공개되었다. 2019년 6월 28일 네트워크 침입을 감지했고 한 달 동안 조사한 결과 미쓰비시는 해커가 내부 네트워크에서 약 200MB의 파일을 훔쳤다고 밝혔다.
미쓰비시는 처음에는 이 문서의 내용을 공개하지 않았지만 업데이트된 보도자료에 따르면 파일에는 주로 비즈니스 거래 및 파트너와 관련된 데이터가 아니라 직원에 대한 정보가 포함되어 있었다.
미쓰비시에 따르면 도난 당한 문서는 다음과 같다.
- 1천987명의 고용 신청에 관한 자료
- 본사 직원 4천566 명의 2012년 직원 설문 조사 결과
- 2007년에서 2019년 사이에 은퇴한 1천569 명의 직원에 대한 정보
- 회사 기밀 기술 자료, 판매 자료 및 기타 자료가 포함된 파일
이번 주 일본 언론은 해킹 사고에 대해 깊이 파고들었다. 보고서에 따르면 직원이 회사 서버 중 하나에서 의심스러운 파일을 찾은 후 침입이 감지되었다. 처음에는 미쓰비시 전기 중국 계열사에서 시작된 후 회사의 부서/네트워크 중 14개로 확산되었다.
미쓰비시 전기가 공개한 해킹과 관련하여 유일하게 기술적인 세부 사항은 해커가 회사에서 사용중인 바이러스 백신 제품 중 하나의 취약점을 악용했다는 것이다.
미쓰비시는 트렌드마이크로 웹사이트에 자사의 제품을 사용하고 있는 회사로 등록되어 있다. 보안 소식통은 이에 대해 해커들이 트렌드마이크로 OfficeScan 바이러스 백신의 디렉토리 탐색 및 임의 파일 업로드 취약점인 CVE-2019-18187을 악용했다고 말했다.
2019년 10월에 공개된 보안 공지에 따르면 영향을 받는 버전의 OfficeScan은 공격자에 의해 OfficeScan 서버에서 디렉토리 탐색 취약점을 이용해 임의의 zip 파일에서 특정 폴더로 파일을 추출해 원격 코드 실행으로 악용될 수 있다.
트렌드마이크로는 지난 10월 CVE-2019-18187을 패치할 때 해커들이 이 취약점을 악용하고 있다고 경고했다.
일본 언론은 이 침입이 틱(Tick)으로 알려진 중국 정부가 후원하는 사이버 해킹 그룹의 작전이라고 주장했다.
외신에 따르면, 틱 해킹 그룹은 지난 몇 년 동안 전 세계의 표적을 대상으로 하는 수 많은 해킹 캠페인을 수해하는 것으로 유명하다. 현재 이 그룹이 다른 대상에 대해 OfficeScan 제로데이를 사용했는지는 확실하지 않다. 트렌드마이크로는 이 내용에 대한 언급을 거부했다.
[2020 대한민국 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최 안내]
-주최: 데일리시큐
-후원: 정부 유관기관
-참관객: 공공•금융•기업CISO, CSO, CPO 및 정보보안 담당자 및 보안연구가 등 300명
-일시: 2020년 2월 5일 수요일
-장소: 한국과학기술회관 지하1층 대회의실
-참관비용: 11만원(VAT 포함)
-교육이수: 7시간 정보보호 교육 이수 가능(정부/공공/일반기업 보안실무자)
-사전등록: 클릭
★정보보안 대표 미디어 데일리시큐!★