덴마크 에너지부 사이버 공격, 샌드웜 해킹 그룹과 연관성 없음

에너지 부문의 사이버 공격에 대한 조사 결과, 이 공격은 국가가 후원하는 조직에 의한 것이 아니라 패치되지 않은 직셀 방화벽의 취약점을 악용한 두 차례의 공격으로 인해 발생한 것으로 밝혀졌습니다. 이 공격은 덴마크에만 국한된 것이 아니라 유럽과 미국에서도 발생했습니다.

~에 따르면사이버 보안포스카우트(Forescout)의 새로운 연구에 따르면 작년에 덴마크 에너지 부문에서 발생한 사이버 공격이 이전에 널리 의심받았던 러시아 관련 샌드웜과 연관되어 있다고 합니다.해커갱단 소속은 존재하지 않을 수 있습니다.

덴마크 에너지부 사이버 공격

2023년 5월, 약 22개의 덴마크 에너지 기관이 두 차례에 걸쳐 사이버 침입을 받았습니다. 첫 번째 공격은직셀 방화벽보안 취약점(CVE-2023-28771), 그리고 공격자가 아직 알려지지 않은 초기 액세스 경로를 통해미라이 봇넷변형.

첫 번째 공격은 5월 11일에 발생했고, 두 번째 공격은 5월 22일부터 31일까지 지속되었습니다. 5월 24일에 탐지된 공격 중 하나에서 손상된 시스템이 IP 주소(217.57.80 [...] 18 및 70.62.153 [...])를 사용하고 있는 것으로 밝혀졌습니다. 18 및 70.62.153 [...] [...] 174). 174)로 사용되었는데, 이 주소는 이전에 해체된 사이클롭스 블링크 봇넷의 명령 및 제어(C2) 서버로 사용되었던 주소입니다.

덴마크 에너지부 사이버 공격, 샌드웜 해킹 그룹과 연관성 없음

공격 활동 분석

그러나 포어스카우트가 공격 캠페인을 면밀히 분석한 결과, 두 공격이 서로 관련이 없을 뿐만 아니라 두 번째 공격은 패치되지 않은 직셀 방화벽을 노린 광범위한 대량 익스플로잇 캠페인의 일부로 국가가 후원하는 해킹 조직의 소행이 아닐 가능성이 높다는 것이 밝혀졌습니다. 이 두 공격의 구체적인 배후는 아직 밝혀지지 않았습니다.

"전쟁의 안개 걷어내기"라는 제목의 보고서에서 이 회사는 "덴마크에 대한 '두 번째 물결'로 묘사된 공격은 실제로 [10일 기간] 이전에 시작되어 그 이후에도 계속되었으며, 매우 유사한 방식으로 방화벽을 무차별적으로 표적으로 삼았고, 전송 서버만 주기적으로 변경되었습니다. 서버만 주기적으로 변경했습니다."

사이버 공격의 지속성

이러한 공격은 이미 2월 16일에 시작된 것으로 보이는데, 직셀 디바이스의 다른 알려진 취약점(CVE-2020-9054 및 CVE-2022-30525)과 CVE-2023-28771을 사용하여 2023년 10월까지 계속되었으며, 유럽과 미국의 여러 기관을 대상으로 활동한 증거가 있습니다.

포스카우트는 "이는 CVE-2023-27881의 익스플로잇이 덴마크의 중요 인프라에 대한 공격에만 국한된 것이 아니라 노출된 디바이스를 표적으로 삼고 있으며, 그 중 일부는 중요 인프라 조직을 보호하는 직셀 방화벽이라는 사실을 추가로 확인시켜 줍니다."라고 덧붙였습니다.

 

최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://cncso.com/kr/샌드웜-해커-그룹-html과-연결되지-않은-사이버-공격

좋다 (0)
이전의 2024년 음력 1월 14일 오후7:45
다음 2024년 음력 1월 22일 오후7:35

관련 제안