Home > 전체기사
수차례 경고 나왔던 VPN 취약점, 블랙 킹덤 랜섬웨어도 이용한다
  |  입력 : 2020-06-18 00:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
펄스 시큐어 등에서 작년 한 해 동안 발굴된 위험한 취약점...패치 안 된 곳 많아
이미 수차례 경고 나오고, 소디노키비 랜섬웨어도 이 취약점 이용하는 것 확인돼


[보안뉴스 문가용 기자] 폴란드의 사이버 보안 업체인 레드팀피엘(REDTEAM.PL)이 “블랙 킹덤(Black Kingdom)이라는 랜섬웨어가 펄스 시큐어(Pulse Secure)의 VPN 취약점을 익스플로잇 하고 있다”는 소식을 발표했다.

[이미지 = utoimage]


문제의 취약점은 CVE-2019-11510으로, 작년에 발견되고 패치됐으며, CVSS 기준 10점 만점을 받았을 정도로 심각한 것이었다. 당시 펄스 시큐어만이 아니라 여러 회사에서 만든 VPN 제품들에서 비슷한 취약점들이 연달아 발견되었다.

취약점은 ‘임의 파일 읽기’를 가능케 하는 것으로, 인증 과정을 통과하지 않은 공격자가 크리덴셜을 탈취한 뒤 또 다른 원격 명령 주입 취약점(같은 펄스 시큐어 제품에서 발견된 CVE-2019-11539)을 통해 비밀 VPN 네트워크를 침해할 수 있게 된다.

펄스 시큐어가 이 취약점들에 대한 패치를 진행한 건 2019년 4월이다. 또한 그해 8월, “대부분 고객들이 패치를 적용했다”고 발표하기도 했다. 그러나 레드팀피엘의 발표로 랜섬웨어 공격자들이 아직 노릴만한 가치가 있다고 여길 정도의 고객들이 아직도 패치를 하지 않은 것으로 나타났다.

VPN은 보안을 강화하고 프라이버시를 보호하기 위해 사용할 수 있는 기본 장치로, 이를 침해할 수 있다는 건 VPN의 존재 이유 자체를 상쇄시키는 것이다. 이에 올해 초 미국의 CISA가 “VPN 제품들에서 발견된 취약점을 패치하라”는 경고문을 발표하기도 했었다. “이미 공격자들이 익스플로잇을 하고 있다”는 내용도 함께였다.

이 취약점을 표적으로 한 사이버 공격이 실제 등장한 건 지난 해 8월부터다. 그리고 아직까지 여러 공격이 지속되고 있는 상황이다. 2019년 말부터는 국가 지원 해커들까지도 여기에 합류했다. 그러더니 1월 소디노키비(Sodinokibi) 랜섬웨어 운영자들 역시 VPN 취약점들을 노리기 시작했다는 보고서가 나왔다. 그리고 블랙 킹덤 역시 이 반열에 올랐다는 발표가 있었던 것이다.

레드팀피엘에 따르면 공격자들은 최초 침투 이후 GoogleUpdateTaskMachineUSA라는 이름의 작업을 예약함으로써 공격 지속성을 확보한다. 원래 정상적인 작업의 이름은 끝에 USA가 아니라 UA가 붙는다. 주의 깊게 살피지 않는다면 알아보기 힘든 차이다.

이 악성 작업이 시작되면 파워셸 스크립트가 실행되고, 이 파워셸 스크립트는 추가 코드를 외부 IP 주소로부터 다운로드 받는다. 이 IP 주소로부터 추가 네트워크 공격이 진행되기도 한다. 이렇게 추가 다운로드가 이뤄진 이후 랜섬웨어가 작동하며, 암호화 된 파일 끝에는 .black_kingdom이라는 확장자가 붙는다.

공격자들이 시스템에 남겨둔 협박 편지에는 “10만 달러를 비트코인으로 내라”는 내용의 요구 사항이 담겨져 있다. 또한 범인들은 600분 안에 지급을 완료하라고도 요구하고 있다. 공격자와 연락을 하고 싶은 경우, blackingdom@gszmail.com으로 연락하라는 내용도 말미에 붙어 있다.

3줄 요약
1. 작년부터 꾸준히 경고되어 온 VPN 제품들의 취약점.
2. 패치가 나왔음에도 적용하지 않아 별별 공격자들이 다 익스플로잇 하고 있음.
3. 최근에는 블랙 킹덤이라는 랜섬웨어 공격자들도 이 취약점을 악용하기 시작.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)