Home > Àüü±â»ç

À̹ÝƼ º¸¾È Ãë¾àÁ¡ ¾Ç¿ëÇÑ 5°³ °ø°Ý±×·ì Æ÷ÂøµÆ´Ù

ÀÔ·Â : 2024-04-16 18:18
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
À̹ÝƼ Ä¿³ØÆ® ½ÃÅ¥¾î VPN Ãë¾àÁ¡ ¾Ç¿ëÇÑ »çÈÄ °ø°Ý ¹× ³»ºÎ ÀüÆÄ
¸Çµð¾ðÆ®¿¡¼­ UNC5221, UNC5266, UNC5330, UNC5337, UNC5291 5°³ °ø°Ý±×·ì Æ÷Âø
Ãø¸é À̵¿ ÅëÇÑ vCenter ħÇØ, ¾×Ƽºê µð·ºÅ丮 ħÇØ À§ÇÑ Ãø¸é À̵¿


[º¸¾È´º½º ±è°æ¾Ö ±âÀÚ] À̹ÝƼ Ä¿³ØÆ® ½ÃÅ¥¾î(Ivanti Connect Secure) ¾îÇöóÀ̾ð½ºÀÇ Ãë¾àÁ¡À» ³ë¸° °ø°ÝÀÚ È°µ¿ÀÌ Æ÷ÂøµÆ´Ù. ¸Çµð¾ðÆ®´Â 2024³â 1¿ù 10ÀÏ ÀÌÈÄ 1°³ ÀÌ»óÀÇ À̹ÝƼ º¸¾È Ãë¾àÁ¡À» ¾Ç¿ëÇÑ 5°³ÀÇ À§Çù Ŭ·¯½ºÅ͸¦ »õ·Ó°Ô ŽÁöÇÏ°í UNC °ø°Ý ±×·ìÀ¸·Î ºÐ·ùÇß´Ù.

¡ãSPAWN ¸È¿þ¾î Æйи® ´ÙÀ̾î±×·¥[ÀÚ·á=¸Çµð¾ðÆ®]


1. UNC5221
ù°, UNC5221 °ø°Ý ±×·ìÀº 2023³â 12¿ù ÃʺÎÅÍ 2024³â 1¿ù 10ÀÏ Àü±îÁö CVE-2023-46805, CVE-2024-21887 º¸¾È Ãë¾àÁ¡À» ¾Ç¿ëÇß´Ù. À̵éÀº Áß±¹-³Ø¼­½º ½ºÆÄÀÌ ±×·ìÀ¸·Î º¸À̸ç, Ivanti °ü·Ã Ãë¾àÁ¡À» ¾Ç¿ëÇÏ´Â °ø°ÝÀ» °è¼Ó ¼öÇàÇØ ¿Ô´Ù.

2. UNC5266
µÑ°, UNC5266Àº SLIVER, WARPWIRE º¯Çü, TERRIBLETEA¶ó´Â »õ·Î¿î ¸È¿þ¾î Æйи®¸¦ »ç¿ëÇØ °ø°ÝÀ» ¼öÇàÇß´Ù. ÀÌ °ø°Ý ±×·ìÀº Aspera Faspex, Microsoft Exchange, Oracle Web Applications Desktop Integrator µî ´Ù¾çÇÑ ¿£ÅÍÇÁ¶óÀÌÁî ¼ÒÇÁÆ®¿þ¾îÀÇ Ãë¾àÁ¡À» ¾Ç¿ëÇØ Ãʱâ Á¢±ÙÀ» ½ÃµµÇÑ °ÍÀ¸·Î º¸ÀδÙ. ÀÌ¿Ü¿¡µµ UNC3569·Î ÃßÀûÇÏ°í ÀÖ´Â ´Ù¸¥ Áß±¹-³Ø¼­½º ½ºÆÄÀÌ ±×·ì°ú ÀϺΠȰµ¿ÀÌ °ãÄ¡´Â °Íµµ È®ÀεƴÙ.

3. UNC5330
¼Â°, UNC5330 °ø°Ý ±×·ìÀº ¶Ç ´Ù¸¥ Áß±¹-³Ø¼­½º ½ºÆÄÀÌ ±×·ìÀ¸·Î 2024³â 2¿ù ÃʺÎÅÍ Ivanti Connect Secure VPN ÀåÄ¡¸¦ ³ë¸° °ø°ÝÀÌ ½ÃÀÛÀ̾ú´Ù. À̵éÀº CVE-2024-21893°ú CVE-2024-21887À» ¾Ç¿ëÇØ Ãʱâ ħÅõ¸¦ ÇÑ ´ÙÀ½ PHANTOMNET, TONERJAM ¸Ö¿þ¾î¸¦ ¹èÆ÷Çß´Ù. ÀÌ °ø°Ý ±×·ìÀº WMI(Windows Management Instrumentation)¸¦ È°¿ëÇØ ÇÇÇØ Á¶Á÷ÀÇ ³×Æ®¿öÅ© ³»¿¡¼­ Á¤º¸¸¦ ¼öÁýÇÏ°í, Ãø¸éÀ̵¿Çϸ鼭 ½Ã½ºÅÛ º¯°æ°ú ¸Ö¿þ¾î À¯Áö¿¡ °ü¿©Çß´Ù.

ÀÌ °ø°Ý ±×·ìÀº ÇØ´ç ¼­¹ö¸¦ GOST ÇÁ·Ï½Ã µµ±¸·Î »ç¿ëÇߴµ¥, ÀÌ´Â ¸Ö¿þ¾î¸¦ ÄÄÇ»ÅÍ ½Ã½ºÅÛ(¿£µåÆ÷ÀÎÆ®) Àü¼Û¿¡ »ç¿ëÇß´Ù. GOST ÇÁ·Ï½Ã ½Äº°¿¡ »ç¿ëÇÑ ÀÎÁõ¼­ À¯È¿ ±â°£Àº 2022³â 9¿ù 1ÀϺÎÅÍ 2024³â 1ÀϱîÁö·Î È®ÀεƴÙ.

2024³â 2¿ù 3ÀÏ¿¡´Â ÀÌ °ø°Ý ±×·ìÀÌ FRP(Fast Reverse Proxy)¶ó´Â µµ±¸¸¦ ¸ñÇ¥·Î »ïÀº Ivanti Connect Secure VPN Àåºñ·ÎºÎÅÍ ÀÌ ¼­¹ö·Î ´Ù¿î·ÎµåÇÏ·Á°í ½ÃµµÇÑ ¹Ù ÀÖ´Ù. ÀÌ·¯ÇÑ È°µ¿µéÀÌ ºñ±³Àû °¡±î¿î ½Ã°£ ³»¿¡ ÀϾ°í, »ç¿ëÇÑ SSH°¡ Àç»ç¿ëµÈ °ÍÀ¸·Î º¸¾Æ UNC5330ÀÌ ÃÖ¼ÒÇÑ 2021³âºÎÅÍ ÀÌ ¼­¹ö¸¦ ¿î¿µÇÑ °ÍÀ¸·Î º¸ÀδÙ.

4. UNC5337
UNC5337Àº Áß±¹-³Ø¼­½º ½ºÆÄÀÌ ±×·ìÀ¸·Î 2024³â 1¿ùºÎÅÍ Ivanti Connect Secure VPN Àåºñ¸¦ °ø°ÝÇÑ °ÍÀ¸·Î ÀǽÉÇÏ°í ÀÖ´Ù. À̵éÀº µÎ °¡Áö Ãë¾àÁ¡À» ¾Ç¿ëÇØ ÀÎÁõ ¿ìȸ¿Í ¸í·É »ðÀÔÀ» ¼öÇàÇß´Ù. UNC5337Àº SPAWNSNAIL, SPAWNMOLE, SPAWNANT, SPAWNSLOTH µîÀÇ »ç¿ëÀÚ Á¤ÀÇ ¸Ö¿þ¾î¸¦ »ç¿ëÇØ Àåºñ¸¦ °¨¿°½ÃÄ×´Ù. ¸Çµð¾ðÆ®´Â ÀÌ °ø°Ý ±×·ìÀÌ ´Ù¸¥ ½ºÆÄÀÌ È°µ¿ ±×·ìÀÎ UNC5221°ú °ü·ÃÀÌ ÀÖÀ» °ÍÀ¸·Î º¸°í ÀÖ´Ù.

5. UNC5291
UNC5291Àº ±³À°, ¿¡³ÊÁö, ¹æÀ§, º¸°Ç ºÐ¾ß¸¦ Ÿ±êÀ¸·Î À§ÇùÇÏ´Â Áý´ÜÀ¸·Î UNC3236°ú ¿¬°üµÆÀ» °¡´É¼ºÀÌ ÀÖ´Ù. À̵éÀÇ È°µ¿Àº 2023³â 12¿ù¿¡ Citrix Netscaler ADC¸¦ ´ë»óÀ¸·Î ½ÃÀ۵ưí, 2024³â 1¿ù¿¡´Â Ivanti Connect Secure VPN Àåºñ¿¡ °ø°Ý ÃÊÁ¡À» ¸ÂÃè´Ù. Volt Typhoon°ú °ü·ÃµÈ ÀÌ °ø°Ý ±×·ìÀº Áß¿ä ÀÎÇÁ¶ó¿¡ °ü½ÉÀÌ ¸¹Àº °ÍÀ¸·Î ¾Ë·ÁÁ® ÀÖÀ¸¸ç, 2024³â 2¿ù »çÀ̹ö º¸¾È°ú ÀÎÇÁ¶ó º¸¾È±¹(CISA)Àº À̵éÀÌ Áß¿ä ÀÎÇÁ¶ó¸¦ ¸ñÇ¥·Î »ï°í ÀÖ´Ù°í °æ°íÇÑ ¹Ù ÀÖ´Ù.

Áï UNC5337°ú UNC5291Àº Áß±¹°ú ¿¬°áµÈ °ø°Ý ±×·ìÀ¸·Î °¢°¢ Ivanti Connect Secure VPN¿Í Citrix Netscaler ADC¸¦ °ø°ÝÇÏ°í ÀÖÀ¸¸ç, ƯÁ¤ ÀÎÇÁ¶ó¸¦ ¸ñÇ¥·Î »ï°í ÀÖ´Â °ÍÀ¸·Î Àǽɵǰí ÀÖ´Ù.

»õ·Î ¹ß°ßÇÑ TTP¿Í ¸Ö¿þ¾î
ÃÖ±Ù Ivanti Connect Secure VPN ħÇØ»ç°í°¡ ÀϾ ÇÑ »çÀ̹ö °ø°Ý Á¶»ç¿¡¼­ ¸Çµð¾ðÆ®´Â ÇØÄ¿µéÀÌ ÇÇÇØ Á¶Á÷ÀÇ ³×Æ®¿öÅ© ³»¿¡¼­ Ãø¸é À̵¿À» ÇÏ¸ç ´Ù¸¥ ½Ã½ºÅÛ¿¡ Á¢±ÙÇϱâ À§ÇØ »õ·Î¿î Àü·«, ±â¼ú, ÀýÂ÷(TTP)¸¦ »ç¿ëÇÏ´Â °ÍÀ» ¹ß°ßÇß´Ù. °ø°ÝÀÚ°¡ »ç¿ëÇÑ ´Ù¾çÇÑ ½Å±Ô ¸Ö¿þ¾î Æйи®µµ È®ÀεÆÀ¸¸ç, ÀÌ Áß ÀϺδ ÇØÄ¿µéÀÌ Á÷Á¢ ¸¸µç ¸ÂÃãÇü ¸Ö¿þ¾î·Î ºÐ¼®µÆ´Ù. ÀÌ¿Ü¿¡ SLIVER, CrackMapExec °°Àº ÀÌ¹Ì ¾Ë·ÁÁø ¿ÀǼҽº µµ±¸¸¦ »ç¿ëÇß´Ù.

(1)SPAWN ¸Ö¿þ¾î Æйи®
Ivanti Connect Secure VPN Àåºñ¸¦ ÇØÅ·ÇÑ UNC5221 °ø°Ý ±×·ì ºÐ¼®À» ÅëÇØ ¸Çµð¾ðÆ®´Â ³× Á¾·ùÀÇ ¼­·Î ´Ù¸¥ ¸Ö¿þ¾î°¡ »ç¿ëµÇ¾î Àåºñ¿¡ Àå±â°£ ¼û±æ ¼ö ÀÖ´Â ¹éµµ¾î¸¦ »ý¼ºÇÏ´Â °ÍÀ» ¹ß°ßÇß´Ù. ÀÌ ¸Ö¿þ¾î Æйи®´Â °ø°ÝÀÚµéÀÌ Å½ÁöµÇÁö ¾Ê°í ¿À·§µ¿¾È ½Ã½ºÅÛ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇØÁÖ´Â ¸ñÀûÀ¸·Î °³¹ßµÈ °ÍÀ¸·Î º¸ÀδÙ.

¡ãÃë¾àÁ¡À» ¾Ç¿ëÇØ À¥¼Ð ½ÇÇà ¸í·É È­¸é[ÀÚ·á=¸Çµð¾ðÆ®]


(2)SPAWNANT
SPAWNANT´Â ´Ù¸¥ µÎ ¸Ö¿þ¾îÀÎ SPAWNMOLE Åͳη¯¿Í SPAWNSNAIL ¹éµµ¾î¸¦ Áö¿øÇÏ´Â ¼³Ä¡ µµ±¸´Ù. ÀÌ µµ±¸´Â Á¤»óÀûÀÎ ¼³Ä¡ ÇÁ·Î¼¼½ºÀÎ dspkginstallÀ» °¡·Îä¼­ ¸Ö¿þ¾î¸¦ Ãß°¡ÇÏ°í, ÀÌÈÄ ÀÛ¾÷À» Á¤»óÀûÀ¸·Î ¸¶Ä¡°Ô ÇÑ´Ù. ¸Ö¿þ¾î¸¦ ÄÄÇ»ÅÍ ½Ã½ºÅÛ¿¡ ¾ÈÂø½ÃÅ°´Â µ¥ »ç¿ëÇÏ´Â µµ±¸´Ù.

(3)SPAWNMOLE
SPAWNMOLEÀº ÇÁ·Î¼¼½º¿¡ ÁÖÀԵǴ Åͳη¯´Ù. SPAWNMOLEÀº web ÇÁ·Î¼¼½º¿¡ ħÅõÇØ Æ®·¡ÇÈÀ» ó¸®ÇÏ´Â accept ÇÔ¼ö¸¦ Å»ÃëÇÏ°í, ¸Ö¿þ¾î¸¦ Ãß°¡Çϱâ À§ÇØ sprintf ÇÔ¼ö¸¦ ³»º¸³»±â Àü¿¡ ÇØ´ç ÇÁ·Î¼¼½º¸¦ °¡·Îæ´Ù. ÀÌÈÄ È帧À» ´Ù½Ã vsnprintf·Î ¸®´ÙÀÌ·º¼ÇÇØ ÇÕ¹ýÀûÀÎ À¥ Æ®·¡ÇÈÀº ±×´ë·Î µÎ°í, ¾Ç¼º Æ®·¡Çȸ¸ ƯÁ¤ ¸ñÀûÁö·Î Àü¼ÛÇÑ´Ù. À̸¦ ÅëÇØ ÇØÄ¿´Â À¥ ¼­¹ö¸¦ ÀÌ¿ëÇØ ºÒ¹ýÀûÀ¸·Î µ¥ÀÌÅ͸¦ Àü¼ÛÇϰųª ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù.

¸Ö¿þ¾î´Â web ÇÁ·Î¼¼½º ÁÖÀÔ ½Ãµµ, API Å»Ãë ½Ãµµ, ¼­µåÆÄƼ ¶óÀ̺귯¸® »ç¿ëÀ» À§ÇØ Æ¯º°È÷ PIE(Position Independent Excutable)·Î ÄÄÆÄÀϵȴÙ.

(4)SPAWNSNAIL
SPAWNSNAIL(libdsmeeting.so)Àº ·ÎÄà ȣ½ºÆ®¿¡¼­ ºñ¹Ð¸®¿¡ Åë½ÅÇÒ ¼ö ÀÖ´Â ¹éµµ¾î¸¦ ¸¸µå´Â µµ±¸´Ù. ÀÌ´Â ÁÖ·Î ¸ð¹ÙÀÏ ÀåÄ¡ °ü¸®¸¦ À§ÇØ »ç¿ëÇϴ ƯÁ¤ ÇÁ·Î¼¼½º¿¡ ¼û°ÜÁ® ½ÇÇàµÇ¸ç, °ø°ÝÀÚ°¡ ÄÄÇ»ÅÍ ³»ºÎ·ÎºÎÅÍ ¸í·ÉÀ» ¼öÇàÇÏ°í Á¤º¸¸¦ °¡Á®°¥ ¼ö ÀÖ°Ô ÇØÁØ´Ù. SPAWNSNAILÀº ÄÄÇ»ÅÍÀÇ Æ¯Á¤ Æ÷Æ®¿¡¼­¸¸ µ¿ÀÛÇÏ´Â SSH ¼­¹ö¸¦ ¸¸µé¸ç, À̸¦ ÅëÇØ °ø°ÝÀÚ°¡ ÄÄÇ»ÅÍ¿¡ Á¢±ÙÇÒ ¼ö ÀÖ°Ô ÇÑ´Ù.

ù ¹ø° ½º·¹µå´Â ºñ¹Ð Å°¸¦ Àӽà ÆÄÀÏ¿¡ ÀúÀåÇÑ ´ÙÀ½, SSH ¿¬°á ¼³Á¤¿¡ ÀÌ Å°¸¦ »ç¿ëÇϵµ·Ï ÇÑ´Ù. ¼³Á¤ ÈÄ Àӽà ÆÄÀÏÀº »èÁ¦µÈ´Ù. ÀÌ·¸°Ô localhostÀÇ Æ¯Á¤ Æ÷Æ®¿¡¼­ µè°í ÀÖÀ¸¸é¼­ °ø°³ Å° ÀÎÁõ ¹æ½ÄÀ» ¿ä±¸ÇÏ´Â SSH ¼­¹ö°¡ »ý¼ºµÈ´Ù. ¿¬°áÀÌ ¼º°øÇϸé SELinux È°¼º ¿©ºÎ, °¡µ¿ ½Ã°£ µî ½Ã½ºÅÛ °ü·Ã Á¤º¸¸¦ º¸¿©ÁÖ°í, °ø°ÝÀÚ°¡ ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖµµ·Ï bash ½©À» Á¦°øÇÑ´Ù.

µÎ ¹ø° ½º·¹µå´Â ConnectSecureÀÇ À̺¥Æ® ·Î±ëÀ» ´ã´çÇÏ´Â ´Ù¸¥ ÇÁ·Î¼¼½º¿¡ SPAWNSLOTH¶ó´Â ·Î±× Á¶ÀÛ À¯Æ¿¸®Æ¼¸¦ ÃÖ´ë 3¹ø±îÁö ÁÖÀÔÇÑ´Ù. À̸¦ ÅëÇØ °ø°ÝÀÚ´Â ·Î±× ÆÄÀÏÀ» Á¶ÀÛÇØ °ø°Ý ÈçÀûÀ» Áö¿ì°Å³ª º¯Á¶ÇÒ ¼ö ÀÖ´Ù.

(5)SPAWNSLOTH
SPAWNSLOTH´Â ÄÄÇ»ÅÍ ½Ã½ºÅÛÀÇ ·Î±× ±â·ÏÀ» Á¶ÀÛÇÏ´Â µµ±¸·Î ·Î±× ±â·Ï Á¶ÀÛ, ·Î±ë ÇÔ¼ö °¡·Îä±â, ÇÁ·Î¼¼½º °£ Åë½ÅÀ» À§ÇØ »ç¿ëÇÑ´Ù. SPAWNSLOTH´Â ½Ã½ºÅÛ ³»ÀÇ Æ¯Á¤ ÇÁ·Î¼¼½º¿¡ ħÅõÇØ ÀÌ ÇÁ·Î¼¼½º°¡ »ý¼ºÇÏ´Â ·Î±×¸¦ Á¶ÀÛÇÒ ¼ö ÀÖ´Ù. ƯÈ÷, SPAWNSNAIL ¹éµµ¾î°¡ È°¼ºÈ­µÆÀ» ¶§, ½Ã½ºÅÛÀÌ ·Î±×¸¦ ±â·ÏÇÏ´Â °ÍÀ» ºñÈ°¼ºÈ­ÇÏ°í, ¿ÜºÎ syslog ¼­¹ö·Î ·Î±×¸¦ Àü¼ÛÇÏ´Â ±â´ÉÀ» ¸ØÃá´Ù. SPAWNSLOTH´Â ¹éµµ¾î°¡ È°¼ºÈ­µÇ¾î ÀÖÀ» ¶§¸¸ ·Î±× ±â·ÏÀ» Â÷´ÜÇÏ´Â Á¶°Ç ¼³Á¤À» À§ÇØ »ç¿ëÇÑ´Ù.

¹®Á¦ ¿øÀΠã±â
¸Çµð¾ðÆ®´Â Ivanti Connect Secure VPN ÀåºñÀÇ º¸¾È ħÇØ »ç°ÇÀ» Á¶»çÇÏ´Â °úÁ¤¿¡¼­ °ø°ÝÀÚµéÀÌ µÎ °¡Áö º¸¾È Ãë¾àÁ¡(CVE-2023-46805 ¹× CVE-2024-21887)À» ÀÌ¿ëÇØ Æ¯Á¤ ÆÄÀÏ¿¡ »õ·Î¿î À¥¼Ð(ROOTROT)À» »ðÀÔÇÑ »ç½ÇÀ» ¹ß°ßÇß´Ù. ÀÌ À¥¼ÐÀº Perl ¾ð¾î·Î ÀÛ¼ºÇßÀ¸¸ç, ÀåºñÀÇ Æ¯Á¤ À§Ä¡¿¡ ÀúÀåµÈ ÇÕ¹ýÀûÀÎ ÆÄÀÏ¿¡ Ãß°¡µÆ´Ù. ÀÌ ÆÄÀÏ À§Ä¡´Â °ú°Å¿¡ ´Ù¸¥ º¸¾È Ãë¾àÁ¡(CVE-2019-11539, CVE-2020-8218)À» ÀÌ¿ëÇÑ °ø°Ý¿¡¼­µµ »ç¿ëÇÑ ¹Ù ÀÖ´Ù.

ROOTROT À¥¼ÐÀº À¥ ºê¶ó¿ìÀú¸¦ ÅëÇØ Á¢±ÙÇÒ ¼ö ÀÖ´Â ÆäÀÌÁö¸¦ ÅëÇØ ÀÛµ¿ÇÑ´Ù. »ç¿ëÀÚ³ª °ø°ÝÀÚ°¡ ƯÁ¤ ¸í·ÉÀ» Çϸé, À¥¼ÐÀº ¸í·ÉÀ» ½ÇÇàÇÏ°í À̸¦ ÅëÇØ °ø°ÝÀÚ´Â ¿ø°ÝÀ¸·Î ½Ã½ºÅÛ¿¡ ¸í·ÉÀ» ³»¸± ¼ö ÀÖ°Ô µÇ¾î ½Ã½ºÅÛÀ» Á¦¾îÇϰųª µ¥ÀÌÅ͸¦ Å»ÃëÇÒ ¼ö ÀÖ´Ù.

¡ãUNC5330 °ø°Ý °æ·Î[ÀÚ·á=¸Çµð¾ðÆ®]


ROOTROT À¥¼ÐÀº º¸¾È Ãë¾àÁ¡ ¹ßÇ¥ Àü ÀÌ¹Ì ½Ã½ºÅÛ¿¡ ¼³Ä¡µÆ°í, ÀÌ´Â °ø°ÝÀÌ ¸Å¿ì ¼¼½ÉÇÏ°Ô °èȹµÆÀ½À» ÀǹÌÇÑ´Ù. ±×·¯³ª ½Ã½ºÅÛ ³»ºÎ ¹× ¿ÜºÎ ¹«°á¼º °Ë»ç µµ±¸ÀÎ ICT´Â ROOTROT À¥¼Ð ÆÄÀÏÀ̳ª ±× »óÀ§ µð·ºÅ丮¿¡¼­ ¹ß»ýÇÑ º¯°æ »çÇ×À» °¨ÁöÇÏÁö ¸øÇÑ´Ù. ÀÌÀ¯´Â ÀÌ ÆÄÀÏÀÌ ICT °Ë»ç¿¡¼­ Á¦¿ÜµÈ ½Ã½ºÅÛÀÇ µ¿Àû ÆÄƼ¼Ç ³»¿¡ À§Ä¡Çϱ⠶§¹®ÀÌ´Ù.

Ãø¸é À̵¿À» ÅëÇÑ vCenter ħÇØ
UNC5221Àº ¸ÕÀú Ivanti Connect Secure VPN Àåºñ¿¡ ROOTROTÀ̶ó´Â À¥¼ÐÀ» ¼³Ä¡ÇØ ÇÇÇØÀÚ ³×Æ®¿öÅ© ³»¿¡¼­ Ãø¸é À̵¿À» À§ÇÑ ¹ßÆÇÀ» ¸¶·ÃÇß´Ù. À̸¦ ±â¹ÝÀ¸·Î °ø°ÝÀÚµéÀº ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ© Ž»ö¿¡ ³ª¼¹´Âµ¥, ƯÈ÷ VM¿þ¾î vCenter ¼­¹ö¿¡ °ü½ÉÀ» °¡Á³´Ù. Ãø¸é À̵¿ ´Ü°è¿¡¼­ UNC5221Àº vCenter¿¡ Á¢±ÙÇϱâ À§ÇØ ¸ÕÀú vCenterÀÇ À¥ ÄܼÖÀ» »ç¿ëÇß°í, ±× ´ÙÀ½¿¡´Â SSH¸¦ ÅëÇØ ¼­¹ö¿¡ Á¢±ÙÇß´Ù. ÀÌÈÄ vCenter ¼­¹ö ³»¿¡¼­ ¼¼ °³ÀÇ »õ·Î¿î °¡»ó ¸Ó½ÅÀ» ¸¸µé¾ú´Ù.

À̵éÀº ³×Æ®¿öÅ© ³»ÀÇ ´Ù¸¥ ¼­¹ö¿Í ºñ½ÁÇÑ À̸§À» °¡Á³Áö¸¸, UNC5221ÀÌ °¡»ó ¸Ó½ÅµéÀ» ½ÇÁ¦·Î »ç¿ëÇß´ÂÁö´Â È®ÀεÇÁö ¾Ê¾Ò´Ù. ¸¶Áö¸·À¸·Î UNC5221Àº SSHÀ» ÅëÇØ vCenter¿¡ ´Ù½Ã Á¢±ÙÇØ BRICKSTORMÀ̶ó´Â ¶Ç ´Ù¸¥ ¹éµµ¾î¸¦ ¼³Ä¡Çß´Ù. ÀÌ ¹éµµ¾î´Â vCenterÀÇ Á¤»óÀûÀÎ ÇÁ·Î¼¼½ºÀÎ vami-http¸¦ ¸ð¹æÇÑ °ÍÀ¸·Î Ãß°¡ ħÀÔÀ̳ª ¸í·É ½ÇÇà¿¡ »ç¿ëÇÒ ¼ö ÀÖ´Ù.

BRICKSTORM
BRICKSTORMÀº Go ¾ð¾î·Î ÀÛ¼ºÇÑ VM¿þ¾î vCenter ¼­¹ö¸¦ ¸ñÇ¥·Î ÇÏ´Â ¹éµµ¾î ÇÁ·Î±×·¥ÀÌ´Ù. ÀÌ ÇÁ·Î±×·¥Àº À¥ ¼­¹ö ¿ªÇÒÀ» Çϸç ÆÄÀϽýºÅÛ°ú µð·ºÅ丮 Á¶ÀÛ, ÆÄÀÏ ¾÷·Îµå¡¤´Ù¿î·Îµå, ¼Ð ¸í·É ½ÇÇà, SOCKS ÇÁ·ÎÅäÄÝÀ» ÅëÇÑ ³×Æ®¿öÅ© Æ®·¡ÇÈ Áß°è ±â´ÉÀ» Á¦°øÇÑ´Ù. BRICKSTORMÀº ÇϵåÄÚµùµÈ C2(Command & Control) ¼­¹ö·Î À¥ ¼ÒÄÏÀ» ÅëÇØ Åë½ÅÇÑ´Ù.

​BRICKSTORMÀÌ ½ÇÇàµÉ ¶§ ȯ°æ º¯¼ö¸¦ üũÇØ ÇÁ·Î±×·¥ÀÌ ¾î¶»°Ô ½ÇÇàµÉÁö °áÁ¤ÇÑ´Ù. ¸¸¾à ÀÌ º¯¼ö°¡ falseÀ̰ųª ¼³Á¤µÇÁö ¾ÊÀº °æ¿ì BRICKSTORMÀº ÀÚ½ÅÀÇ Äڵ带 º¹»çÇÑ ÈÄ, º¹»çµÈ À§Ä¡¿¡¼­ ÇÁ·Î±×·¥À» ½ÇÇàÇÏ°í ±âÁ¸ ½ÇÇàÀ» Á¾·áÇÑ´Ù. ÀÌ °úÁ¤Àº ¼­¹ö ³»¿¡¼­ ´õ ÀÚ¿¬½º·´°Ô ¼û¾î ÀÖÀ» ¼ö ÀÖ°Ô ÇÑ´Ù. WRITE_LOG°¡ true·Î ¼³Á¤µÈ °æ¿ì BRICKSTORMÀº ÀÚ½ÅÀÌ ¿Ã¹Ù¸¥ À§Ä¡¿¡¼­ ½ÇÇàµÇ°í ÀÖ´Ù°í ÆÇ´ÜÇÏ°í Á¤»óÀûÀÎ ÀÛµ¿À» °è¼ÓÇÑ´Ù.

​BRICKSTORM ¹éµµ¾î¿¡´Â ÀÚ½ÅÀÇ ÀÛ¾÷À» ¸ð´ÏÅ͸µÇϴ Ưº°ÇÑ ±â´ÉÀÌ ÀÖ´Ù. ¹éµµ¾î°¡ ½Ã½ºÅÛ ³»¿¡¼­ Á¦´ë·Î ÀÛµ¿ÇÏ´ÂÁö °¨½ÃÇÑ´Ù. WORKER¶ó´Â ȯ°æ º¯¼ö°¡ falseÀ̰ųª ¾Æ¿¹ ¼³Á¤µÇÁö ¾Ê¾Ò´Ù¸é BRICKSTORMÀº ÀÚ½ÅÀÌ ¼³Ä¡µÈ À§Ä¡¸¦ ÁÖ½ÃÇϸ鼭 ÀÌ ÆÄÀÏÀÇ ³»¿ëÀ» º¹»çÇÏ°í, »õ·Î¿î ÇÁ·Î¼¼½º¸¦ »ý¼ºÇϸç, ÀÌ ÇÁ·Î¼¼½º°¡ Á¤»óÀûÀ¸·Î ÀÛµ¿ÇÏ´ÂÁö ¸ð´ÏÅ͸µÇÑ´Ù.

¹Ý¸é¿¡ WORKER ȯ°æ º¯¼ö°¡ true·Î ¼³Á¤µÇ¾î ÀÖ´Ù¸é BRICKSTORMÀº ÀÚ½ÅÀÌ ¹éµµ¾î ±â´ÉÀ» ¼öÇàÇϱâ À§ÇØ Æ¯º°È÷ »ý¼ºµÈ worker ÇÁ·Î¼¼½º¶ó°í ÆÇ´ÜÇÏ°í watcher ÇÔ¼öÀÇ ³ª¸ÓÁö ´Ü°è¸¦ ½ÇÇàÇÏÁö ¾Ê´Â´Ù.

¶ÇÇÑ, BRICKSTORMÀº À¥ ¼ÒÄÏÀ» ÅëÇØ ¿ÜºÎÀÇ C2 ¼­¹ö¿Í Åë½ÅÇÑ´Ù. ÇÁ·Î±×·¥ ÄÚµå ³»¿¡´Â ƯÁ¤ À¥ ÁÖ¼Ò°¡ ÇϵåÄÚµù µÇ¾î ÀÖ¾î ÀÌ ÁÖ¼Ò¸¦ ÅëÇØ Áö½Ã¸¦ ¹Þ°Å³ª µ¥ÀÌÅ͸¦ Àü¼ÛÇÑ´Ù. ¶ÇÇÑ, ÀÌ ¹éµµ¾î´Â DoH(DNS over HTTPS) ¼­ºñ½º¸¦ ÀÌ¿ëÇÑ Åë½ÅÀ» Áö¿øÇϴµ¥, ÀÌ´Â ³×Æ®¿öÅ© Æ®·¡ÇÈÀ» ´õ¿í Àº¹ÐÇÏ°Ô ¸¸µé¾î ¿ÜºÎ¿Í Åë½ÅÀ» ¼û±â´Â µ¥ µµ¿òÀÌ µÈ´Ù.

BRICKSTORM ¹éµµ¾î´Â wssoft¶ó´Â À̸§ÀÇ »ç¿ëÀÚ Á¤ÀÇ Go ÆÐÅ°Áö¸¦ »ç¿ëÇÏ´Â °ÍÀ¸·Î ³ªÅ¸³µ´Ù. ÇöÀç °ø°³ÀûÀ¸·Î wssoft¶õ À̸§À¸·Î ¾Ë·ÁÁø Go ÆÐÅ°Áö´Â ¾øÀ¸³ª, ÀÌ´Â °ø°ÝÀÚµéÀÌ Æ¯º°È÷ ÀÛ¾÷ ó¸®¿Í ¿¬°á °ü¸®¸¦ À§ÇØ ¸¸µç ÄÚµåÀÏ °¡´É¼ºÀÌ ³ô´Ù.

¹éµµ¾î ±â´ÉÀÌ ÀÛµ¿Çϸé ÀÌ ÆÐÅ°Áö´Â À¥ ¼­¹ö¸¦ »ý¼ºÇØ ¿ÜºÎ·ÎºÎÅÍ ¸í·ÉÀ» ¹Þ¾ÆµéÀÌ°í ó¸®ÇÏ´Â ¿ªÇÒÀ» ÇÑ´Ù. ÀÌ °úÁ¤¿¡¼­ BRICKSTORMÀº ÆÐÅ°Áö¸¦ »ç¿ëÇØ ´Ù¾çÇÑ À¥ ¿äû¿¡ ´ëÇÑ °æ·Î¸¦ ¼³Á¤ÇÏ°í °ü¸®ÇÑ´Ù. ¶ÇÇÑ, lonnng/nex¶ó´Â ÆÐÅ°Áö¸¦ ÀÌ¿ëÇØ µ¥ÀÌÅ͸¦ JSON Çü½ÄÀ¸·Î º¯È¯(marshal)ÇÏ´Â ÀÛ¾÷À» ¼öÇàÇÑ´Ù. ÀÌ·¯ÇÑ ±â¼úµéÀº BRICKSTORMÀÌ ³×Æ®¿öÅ©¿¡¼­ ´õ È¿À²ÀûÀ¸·Î Åë½ÅÇÏ°í ¸í·ÉÀ» ó¸®ÇÏ´Â µ¥ ÇÊ¿äÇÑ ±¸Á¶¸¦ Á¦°øÇÑ´Ù.

¾×Ƽºê µð·ºÅ丮 ħÇظ¦ À§ÇÑ Ãø¸é À̵¿
UNC5330 °ø°Ý ±×·ìÀº µÎ °¡Áö º¸ÀÎ Ãë¾àÁ¡(CVE-2024-21893°ú CVE-2024-21887)À» »ç¿ëÇØ ÇÇÇØÀÚÀÇ ½Ã½ºÅÛ¿¡ óÀ½À¸·Î Á¢±ÙÇÏ´Â µ¥ ¼º°øÇß´Ù. À̵éÀº óÀ½¿¡ Á¢±ÙÇÑ ÈÄ ÀÌ¹Ì Ä§ÇØµÈ Ivanti Connect Secure VPN Àåºñ¿¡ ¼³Á¤µÈ LDAP ¹ÙÀÎµå °èÁ¤À» È°¿ëÇß´Ù. ±×µéÀÇ ¸ñÀûÀº Ãë¾àÇÑ Windows Certificate TemplateÀ» ÀÌ¿ëÇØ »õ·Î¿î ÄÄÇ»ÅÍ °´Ã¼¸¦ ¸¸µé°í, À̸¦ ÅëÇØ µµ¸ÞÀÎ °ü¸®ÀÚ ÀÎÁõ¼­¸¦ ¹ß±Þ¹Þ´Â °ÍÀ̾ú´Ù.

ÀÎÁõ¼­¸¦ ȹµæÇÑ °ø°ÝÀÚµéÀº µµ¸ÞÀÎ °ü¸®ÀÚ·Î °¡ÀåÇÒ ¼ö ÀÖ¾ú°í, ÀÌ À§Ä¡¿¡¼­ Ãß°¡ÀûÀÎ ÀÚ°Ý Áõ¸í Á¤º¸¸¦ ¼öÁýÇÒ ¼ö ÀÖ¾ú´Ù. ÀÌÈÄ °ø°ÝÀÚµéÀº ³×Æ®¿öÅ© ³»¿¡¼­ ´õ ¸¹Àº ½Ã½ºÅÛ¿¡ Á¢±ÙÇÏ°í Á¦¾î±ÇÀ» È®ÀåÇϱâ À§ÇØ DCSync¶ó´Â ±â¼úÀ» »ç¿ëÇØ Ãß°¡ÀûÀÎ Ãø¸é À̵¿À» ½ÃµµÇß´Ù. ÀÌ·± Àü·«À¸·Î UNC5330Àº ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ© ³»¿¡¼­ ±¤¹üÀ§ÇÑ ¾×¼¼½º ±ÇÇÑÀ» È®º¸ÇØ Áß¿ä Á¤º¸¸¦ Å»ÃëÇÒ ¼ö ÀÖ¾ú´Ù.

(1)Windows Certificate Template ¾Ç¿ë
UNC5330Àº ldap-ivanti¶ó´Â °èÁ¤À¸·Î LDAP ¹ÙÀεå ÀÛ¾÷À» ¼öÇàÇß´Ù. ÀÌ °úÁ¤¿¡¼­ testComputer$¶ó´Â À̸§ÀÇ ÄÄÇ»ÅÍ °´Ã¼¸¦ »ý¼ºÇß´Ù. ±×·± ´ÙÀ½ »õ·Î ¸¸µç testComputer$ °´Ã¼·Î µµ¸ÞÀÎ ÄÄÇ»ÅÍ¿¡ µî·Ï ±ÇÇÑÀ» ºÎ¿©ÇÏ´Â Ãë¾àÇÑ ÀÎÁõ¼­ ÅÛÇø´À¸·ÎºÎÅÍ ÀÎÁõ¼­¸¦ ¹ß±Þ¹Þ¾Ò´Ù.

UNC5330Àº ÀÌ ÀÎÁõ¼­¸¦ È°¿ëÇØ µµ¸ÞÀÎ °ü¸®ÀÚ °èÁ¤¿ë ÀÎÁõ¼­¸¦ ¹ß±Þ¹Þ¾Ò°í, À̸¦ ÅëÇØ Kerberos TGT(Ticket-Granting Ticket)¸¦ ¾ò¾ú´Ù. ÀÌ TGT·Î UNC5330Àº DCSync °ø°ÝÀ» ÁøÇàÇØ ³×Æ®¿öÅ© ³» ´Ù¸¥ ½Ã½ºÅÛÀÇ µµ¸ÞÀÎ ÀÚ°Ý Áõ¸íÀ» ÃßÃâÇØ Ãø¸é À̵¿¿¡ ÇÊ¿äÇÑ ±ÇÇÑÀ» È®º¸Çß´Ù.

µµ¸ÞÀÎ °ü¸®ÀÚ ±ÇÇÑ È®º¸ ÈÄ UNC5330Àº WMI(Windows Management Instrumentation)¸¦ »ç¿ëÇØ TONERJAM ·±Ã³¿Í PHANTOMNET ¹éµµ¾î¸¦ ³×Æ®¿öÅ© ³» ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¹èÆ÷Çß´Ù. ÀÌ °úÁ¤À» °ÅÃÄ °ø°ÝÀÚµéÀº ³×Æ®¿öÅ© ³»ºÎ¿¡ ´õ ±í¼÷ÀÌ Ä§ÅõÇÏ°í, ´õ ¸¹Àº ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ´Â Åä´ë¸¦ ¸¶·ÃÇß´Ù.

(2)WMI Event Consumers
°ø°ÝÀÚµéÀº ÇÇÇØÀÚÀÇ ³×Æ®¿öÅ© ³»¿¡¼­ Ãø¸é À̵¿°ú Áö¼ÓÀûÀÎ Á¢±Ù È®º¸¸¦ À§ÇØ WMI¸¦ È°¿ëÇß´Ù. °ø°ÝÀÚµéÀº ÀÛ¾÷À» ½ºÄÉÁÙ¸µÇÏ°í ½ÇÇàÇÏ´Â µ¥ WMI Event Consumers¸¦ »ç¿ëÇß´Ù.

ÀÌ °úÁ¤¿¡¼­ °ø°ÝÀÚµéÀº ´ÙÀ½°ú °°Àº ÀÛ¾÷À» ¼öÇàÇß´Ù. ½Ã½ºÅÛÀÌ ½ÃÀÛµÉ ¶§ ÀÚµ¿À¸·Î ½ÇÇàµÇ´Â ÀÛ¾÷À» ½ºÄÉÁÙ¸µÇÏ°í, ƯÁ¤ ¸í·ÉÀ» ½ÇÇàÇß´Ù. ±×¸®°í ÀÌ ¸í·ÉÀÇ °á°ú(Ãâ·Â)¸¦ µð·ºÅ丮¿¡ ÆÄÀÏ ÇüÅ·ΠÀúÀåÇÏ°í, »ç¿ëÀÌ ³¡³­ ÈÄ¿¡´Â ½ºÄÉÁÙ¸µÇÑ ÀÛ¾÷À» »èÁ¦Çß´Ù.

ÀÌ·¯ÇÑ ¹æ¹ý°ú WMI¸¦ ÅëÇÑ ¸í·É ½ÇÇà °úÁ¤¿¡¼­ ¹ß°ßµÈ Áõ°Å¿Í ¸í¸í ±ÔÄ¢Àº ÃֽŠ¹öÀüÀÇ CrackMapExec µµ±¸ »ç¿ë°ú ÀÏÄ¡ÇÑ´Ù. CrackMapExec´Â SMB(Simple Message Block) ÇÁ·ÎÅäÄÝÀ» »ç¿ëÇÏÁö ¾Ê°í DCE/RPC(Distributed Computing Environment/Remote Procedure Call)¸¦ ÅëÇØ WMI ¸í·ÉÀ» ½ÇÇàÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù. ¸Çµð¾ðÆ®´Â ÀÌ ±â¼úÀÌ Æ¯È÷ TONERJAM, PHANTOMNET ¹éµµ¾î¸¦ ³×Æ®¿öÅ© ³» ´Ù¸¥ ½Ã½ºÅÛ¿¡ ¹èÆ÷ÇÏ´Â µ¥ »ç¿ëµÆ´Ù°í º¸°íÇÑ ¹Ù ÀÖ´Ù.

(3)TONERJAM
TONERJAMÀº ¾ÏȣȭµÈ ½© ÄÚµå ÆäÀ̷ε带 Çص¶ÇÏ°í ½ÇÇàÇÏ´Â µµ±¸´Ù. TONERJAMÀº PHANTOMNETÀ̶ó´Â ƯÁ¤ ÆäÀ̷εåÀÇ ¾Ïȣȭ¸¦ ÇØÁ¦ÇÏ´Â µ¥ »ç¿ëÇÑ´Ù. º¹È£È­ °úÁ¤¿¡¼­ AES ¾Ïȣȭ Å°¸¦ È°¿ëÇϴµ¥, ÀÌ Å°´Â ÆäÀÌ·Îµå ¸¶Áö¸· ºÎºÐ¿¡ À§Ä¡ÇÑ 16¹ÙÀÌÆ® SHA Çؽà ÇÔ¼ö·Î ó¸®ÇØ ¾ò´Â´Ù. TONERJAMÀº ÀÚ½ÅÀÌ ½ÇÇàµÉ ¶§ ¾î¶² ±ÇÇÑÀ» °¡Á³´ÂÁö¿¡ µû¶ó, ½Ã½ºÅÛ Àç½ÃÀÛ ÈÄ¿¡µµ ÀÚµ¿ ½ÇÇàÀÌ µÇµµ·Ï À©µµ¿ì ·¹Áö½ºÆ®¸® Å°¸¦ ¼öÁ¤Çϰųª, ÇÊ¿ä ¾ø¾îÁø COM °´Ã¼¸¦ Á¤¸®ÇÏ´Â µîÀÇ ÀÛ¾÷À¸·Î Áö¼Ó¼ºÀ» È®º¸ÇÑ´Ù.

(4)PHANTOMNET
PHANTOMNETÀº TCP ³×Æ®¿öÅ© ÇÁ·ÎÅäÄÝÀ» ±â¹ÝÀ¸·Î Åë½ÅÇÏ´Â È®Àå °¡´ÉÇÑ ¹éµµ¾î´Ù. ÀÌ ¹éµµ¾îÀÇ ÁÖ¿ä Ư¡Àº Ç÷¯±×ÀÎÀ¸·Î ½±°Ô ±â´ÉÀ» Ãß°¡ÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. Ç÷¯±×ÀÎÀº ½Ã½ºÅÛ ¸Þ¸ð¸®¿¡ Á÷Á¢ ÀûÀçµÇ¾î ½ÇÇàµÈ´Ù.

(5)SILVER C2
UNC5266Àº º°µµÀÇ °ø°Ý¿¡¼­ SILVER¶ó´Â µµ±¸ÀÇ º¹»çº»À» ã±â À§ÇØ Æ¯Á¤ Python SimpleHTTP ¼­¹ö¸¦ »ç¿ëÇß´Ù. ÀÌ ¼­¹ö´Â °ø°ÝÀÚµéÀÌ ÀÌ¹Ì Á¦¾îÇÏ°í ÀÖ´Â C2 ¼­¹ö¿Í °°Àº IP ÁÖ¼Ò¿¡ À§Ä¡ÇØ ÀÖ¾ú´Ù. SILVER º¹»çº»Àº ħÇØ ½Ã½ºÅÛ ³» ¼¼ °³ÀÇ ´Ù¸¥ À§Ä¡¿¡ ¹èÄ¡µÆÀ¸¸ç, °¢°¢ ÇÕ¹ýÀûÀÎ ÆÄÀÏ·Î À§ÀåÇØ ½Ã½ºÅÛ ³»¿¡¼­ ã±â ¾î·Æ°Ô Çسù´Ù. ¶ÇÇÑ, °ø°ÝÀÚµéÀº ½Ã½ºÅÛ Àç½ÃÀÛ ÈÄ¿¡µµ SILVER°¡ °è¼Ó ½ÇÇàµÇµµ·Ï systemd ¼­ºñ½º ÆÄÀÏÀ» ¼öÁ¤ÇØ SILVERÀÇ º¹»çº»À» ½Ã½ºÅÛ¿¡ ¿µ±¸ÀûÀÎ µ¥¸óÀ¸·Î µî·ÏÇß´Ù.

UNC5266Àº ÀÌÀü¿¡ ¿Ã¸° ¡®Cutting Edge Part2¡¯ Æ÷½ºÆÿ¡¼­ ¼³¸íÇÑ WARPWIRE¶ó´Â ¼ÒÇÁÆ®¿þ¾î¸¦ º¯ÇüÇÑ ¹öÀüÀ» »ç¿ëÇß´Ù. ÀÌ º¯Çü ¹öÀüÀº ·ç¾È´Ù¿¡ À§Ä¡ÇÑ Ä§ÇØµÈ À¥ ¼­¹ö¿¡¼­ UNC5266¿¡ ÀÇÇØ ´Ù¿î·ÎµåµÈ °ÍÀ¸·Î ¸Çµð¾ðÆ®´Â ÆľÇÇÏ°í ÀÖ´Ù.

(6)TERRIBLETEA
UNC5266Àº ÀÌÀü¿¡ SLIVER ÀÛ¾÷¿¡¼­ »ç¿ëÇß´ø WARPWIRE »ùÇÃÀ» ´Ù½Ã »ç¿ëÇß´Ù. ÇÏÁö¸¸ À̹ø¿¡´Â SLIVER ´ë½Å ¸Çµð¾ðÆ®°¡ TERRIBLETEA¶ó°í À̸§ ºÙÀÎ Go ¾ð¾î·Î ÀÛ¼ºÇÑ ¹éµµ¾î¸¦ ¹èÆ÷Çß´Ù. ħÀÔ °úÁ¤¿¡¼­ °ø°ÝÀÚµéÀº ¹éµµ¾î¸¦ ´Ù¿î·ÎµåÇϱâ À§ÇØ curl ¸í·É¾î »ç¿ëÀ» ½ÃµµÇßÀ¸³ª ½ÇÆÐÇß´Ù. curl »ç¿ë ½Ãµµ°¡ ½ÇÆÐÇÑ ÈÄ ¾à 7ºÐ µÚ¿¡ °ø°ÝÀÚµéÀº wget ¿äûÀ¸·Î À͸í ÆÄÀÏ °øÀ¯ »çÀÌÆ®(pan.xj.hk)¿¡¼­ ¹éµµ¾î¸¦ ¹Þ¾Ò´Ù. ÀÌ ½Ã°£ µ¿¾È °ø°ÝÀÚµéÀº ¾Æ¸¶ TERRIBLETEA ¹éµµ¾î¸¦ ÇØ´ç ÆÄÀÏ °øÀ¯ »çÀÌÆ®¿¡ ¿Ã¸° °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

​TERRIBLETEA´Â XXTEA ¾Ïȣȭ¸¦ »ç¿ëÇØ HTTP¸¦ ÅëÇÑ ¾ÏȣȭµÈ Åë½ÅÀ» Áö¿øÇÏ´Â Go ¾ð¾î·Î °³¹ßÇÑ ¹éµµ¾î·Î ¡â¸í·É ½ÇÇà ¡âÅ°½ºÆ®·ÎÅ© ·Î±ë ¡âSOCKS5 ÇÁ·Ï½Ã ¡âÆ÷Æ® ½ºÄ³´× ¡âÆÄÀϽýºÅÛ »óÈ£ÀÛ¿ë ¡âSQL Äõ¸® ½ÇÇà ¡âÈ­¸é ĸó ¡â»õ SSH ¼¼¼Ç ¿­±â, ¸í·É ½ÇÇà ¹× ÆÄÀÏÀ» ¿ø°Ý ¼­¹ö¿¡ ¾÷·ÎµåÇÏ´Â ±â´ÉÀ» Á¦°øÇÑ´Ù.

Àü¸Á
Áö±Ý±îÁö UNC5325°¡ Ivanti Connect Secure VPN Àåºñ¸¦ °ø°Ý ´ë»óÀ¸·Î »ïÀº »ç·Ê¸¦ »ìÆìºÃ´Ù. ±×¸®°í À̸¦ ÅëÇØ ³×Æ®¿öÅ© ¿§Áö ÀåÄ¡°¡ ¾î¶² À§Çù¿¡ ³ëÃâµÉ ¼ö ÀÖ´ÂÁö ¾Ë¾ÆºÃ´Ù. ¸Çµð¾ðÆ®ÀÇ Á¶»ç¿¡ µû¸£¸é Áß±¹°ú ¿¬°áµÈ °ø°ÝÀÚµéÀº Àü ¼¼°è ±â¾÷µéÀ» ´ë»óÀ¸·Î À§ÇùÀ» °¡ÇÏ°í ÀÖÀ¸¸ç, ¾ÆÁ÷ °ø°³µÇÁö ¾ÊÀº Á¦·Îµ¥ÀÌ Ãë¾àÁ¡»Ó¸¸ ¾Æ´Ï¶ó ÀÌ¹Ì ¾Ë·ÁÁø N-µ¥ÀÌ Ãë¾àÁ¡µµ Àû±Ø È°¿ëÇÏ°í ÀÖ´Ù.

¿§Áö ÀåÄ¡ÀÇ º¸¾È Ãë¾àÁ¡À» ÀÌ¿ëÇÑ °ø°Ý¿¡ ¼º°øÇÏ¸é °ø°ÝÀÚµéÀº ´Ù¾çÇÑ TTP¸¦ µ¿¿øÇØ ÈÄ¼Ó °ø°ÝÀ» ÇÏ´Â °Íµµ È®Àεǰí ÀÖ´Ù. ƯÈ÷, Áß±¹°ú ¿¬°üµÈ °ø°ÝÀÚµéÀº º¸¾È ½Ã½ºÅÛ °¨Áö¸¦ ȸÇÇÇϱâ À§ÇØ °ø°Ý ¹æ¹ýÀ» Àº¹ÐÇÏ°Ô °³¼±ÇÏ°í ÀÖ´Ù. ¿ÀǼҽº µµ±¸¸¦ »ç¿ëÇÏ´Â °æ¿ìµµ ¸¹Áö¸¸, ƯÁ¤ ȯ°æ¿¡ ¸ÂÃç Á÷Á¢ °³¹ßÇÑ ¸ÂÃãÇü ¸È¿þ¾î Äڵ带 »ç¿ëÇÏ´Â »ç·Êµµ ½É½ÉÂú°Ô º¼ ¼ö ÀÖ´Ù.
[±è°æ¾Ö ±âÀÚ(boan3@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)