Fog와 Akira 랜섬웨어 운영자들이 SonicWall VPN 계정을 통해 기업 네트워크를 점점 더 침해하고 있습니다. 이들은 SSL VPN 접근 제어 결함인 CVE-2024-40766을 악용하는 것으로 보입니다. SonicWall은 2024년 8월 말에 이 결함을 수정했으며, 대략 일주일 후에 이미 활발하게 악용되고 있다고 경고했습니다. 동시에, Arctic Wolf 보안 연구원들은 Akira 랜섬웨어 제휴사가 이 결함을 이용하여 피해자 네트워크에 초기 접근을 시도하는 것을 보고했습니다.
Arctic Wolf의 새로운 보고서에 따르면, Akira와 Fog 랜섬웨어 작업은 SonicWall VPN 계정을 통한 원격 접근으로 시작된 최소 30건의 침입을 수행했습니다. 이 중 75%는 Akira와 연결되어 있으며, 나머지는 Fog 랜섬웨어 작업에 속합니다. 흥미롭게도, 두 위협 그룹은 인프라를 공유하는 것으로 보이는데 이는 Sophos가 이전에 문서화한 두 그룹 간의 비공식 협력이 계속되고 있다는 것을 보여줍니다.
이들 공격자들은 대부분의 경우 VPN/VPS를 통해 엔드포인트에 접근하고, 실제 IP 주소를 숨겼습니다. Arctic Wolf는 또한, 침해된 조직들이 패치되지 않은 엔드포인트를 운영하고 있으며, 침해된 SSL VPN 계정에 다중 요소 인증을 활성화하지 않았으며, 기본 포트 4433에서 서비스를 실행하고 있음을 지적했습니다.
요약
- Fog와 Akira 랜섬웨어 운영자들이 SonicWall VPN 계정을 통해 기업 네트워크를 점점 더 침해하고 있으며, 이들은 SSL VPN 접근 제어 결함인 CVE-2024-40766을 악용하는 것으로 보인다.
- Akira와 Fog 랜섬웨어 작업은 SonicWall VPN 계정을 통한 원격 접근으로 시작된 최소 30건의 침입을 수행했으며, 이 중 75%는 Akira와 연결되어 있고, 나머지는 Fog 랜섬웨어 작업에 속한다.
- 공격자들은 대부분의 경우 VPN/VPS를 통해 엔드포인트에 접근하고, 실제 IP 주소를 숨겼으며, 침해된 조직들은 패치되지 않은 엔드포인트를 운영하고 있고, 침해된 SSL VPN 계정에 다중 요소 인증을 활성화하지 않았다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.