미국 비밀 요원에 대한 중국의 사이버 공격 의혹
해커들이 네트워크 운영을 보호하기 위해 ISP가 널리 사용하는 소프트웨어인 Versa Director의 제로데이 취약점을 악용하여 미국 및 해외의 여러 인터넷 기업을 감염시켰다고 위협 연구 부서인 Black Lotus Labs가 밝혔습니다.루멘 기술 .
루멘 공격이 의심되는 경우중국 출신 .
루멘은 주목했습니다:
"블랙 로터스 랩은 알려진 것과 관찰된 전술과 기법을 바탕으로 CVE-2024-39717의 제로데이 익스플로잇과 버사멤 웹 셸의 작전적 사용을 중국 국가 지원 위협 행위자인 볼트 타이푼과 브론즈 실루엣의 소행으로 보고 있습니다."
루멘의 연구원들은 4명의 미국인 피해자와 1명의 외국인 피해자를 확인했으며, 공격 대상에는 위장 근무하는 정부 및 군인, 그리고 다음과 같은 전략적 관심 그룹이 포함된 것으로 알려졌다.중국 .
연구진은 이 익스플로잇이 패치가 적용되지 않은 버사 디렉터 시스템에 대해 여전히 활성 상태라고 경고합니다.
미국 사이버 보안 및 인프라 보안국(CISA)의 전 전무 이사인 브랜든 웨일즈는 다음과 같이 점점 더 고도화되고 있는중국 사이버 공격 를 발표하고 사이버 보안 투자를 확대할 것을 촉구했습니다.
그는 표현했습니다:
"중국은 계속해서 미국의 핵심 인프라를 표적으로 삼고 있습니다. 볼트 타이푼의 활동이 폭로되면서 그들이 사용하는 전술과 수법에 분명 변화가 생겼지만, 우리는 그들이 미국의 중요 인프라를 손상시키려는 시도를 매일 계속하고 있다는 것을 알고 있습니다."
블랙 로터스 랩은 이 취약점의 심각성을 강조하며, 버사 디렉터를 사용하는 조직에 버전 22.1.4 이상으로 업그레이드할 것을 촉구했습니다.
중국, 혐의 부인
중국 은 스스로를 '다크 파워'라고 부르는 랜섬웨어 사이버 범죄 집단이며, 어떤 국가나 지역의 후원을 받지 않는다고 주장하며 혐의를 부인했습니다.
류펑위 대사관 대변인은 4월 15일 글로벌 타임스와의 통화에서 이 같은 사실을 부인했으며, 린젠 중국 외교부 대변인도 이를 반박했습니다.
조사 결과에 따르면 볼트 타이푼은 사용자 로그인 정보를 수집하기 위해 'VersaMem'이라는 특수 웹 셸을 사용했습니다.
버사 디렉터 익스플로잇 프로세스 및 버사멤 웹 셸 기능에 대한 개요
VersaMem은 여러 프로세스에 자신을 연결하고 취약한 서버의 Java 코드를 조작하는 정교한 악성 소프트웨어입니다.
전적으로 메모리에서 작동하기 때문에 탐지하기가 특히 어렵습니다.
익스플로잇의 표적이 된 버사 디렉터 서버
그리고작동 는 특히 인터넷 및 관리형 서비스 제공업체가 일반적으로 사용하는 Versa Director 서버를 표적으로 삼았기 때문에 기업 네트워크 관리 시스템에 침투하려는 위협 공격자들의 주요 표적이 되었습니다.
버사 네트웍스는 월요일에 이 취약점을 확인했으며, 알려진 사례 중 적어도 한 건에서 이 취약점이 악용되었다고 언급했습니다;
루멘에 따르면, 최초 익스플로잇이 발생하기 직전인 6월 7일에 VirusTotal에서 VersaMem 웹 셸이 처음 발견되었다고 합니다.
버사 테스트용 바이러스 총량 스크린샷 (SHA256: 4bcedac20a75e8f8833f4725adfc87577c32990c3783bf6c743f14599a176c37)에서 0개의 탐지 항목이 표시됩니다.
아파치 메이븐을 사용하여 컴파일된 이 멀웨어에는 다음과 같은 주석이 포함되어 있습니다.중국어 문자를 포함하고 있으며 8월 중순 현재 바이러스 백신 소프트웨어에서 탐지되지 않은 상태입니다.