연구자들은 유효한 자격증명을 사용하여 대규모 캠페인에서 SonicWall SSLVPN 계정 100개 이상이 해킹당했다고 경고했습니다. 일부 경우에서는 공격자들이 짧은 시간 후에 연결을 끊었지만, 다른 경우에는 네트워크 스캔과 로컬 Windows 계정에 접근하려는 시도를 이어갔습니다. 이러한 활동의 대부분은 Huntress의 여러 고객 환경에서 10월 4일에 시작되었습니다. 연구자들은 "공격자들이 속도와 규모가 큰 이러한 공격들은 공격자들이 무차별 대입 공격보다는 유효한 자격증명을 제어하는 것으로 보인다"고 말했습니다.
공격은 Huntress가 보호하는 16개의 환경에서 SonicWall SSLVPN 계정 100개 이상에 영향을 미쳤으며, 이는 10월 10일에도 계속되고 있는 상당히 크고 널리 퍼진 캠페인을 나타냅니다. 대부분의 경우, 악의적인 요청은 IP 주소 202.155.8[.]73에서 시작되었습니다. 인증 단계 후에, Huntress는 공격자가 대량의 로컬 Windows 계정에 접근하려는 공격의 정찰 및 수평 이동 단계에 특정한 활동을 관찰했습니다.
Huntress는 최근 SonicWall의 침해로 인해 모든 클라우드 백업 고객의 방화벽 구성 파일이 노출된 것과 관련하여 관찰된 일련의 침해에 대한 증거를 찾지 못했습니다. 이러한 파일들은 매우 민감한 데이터를 포함하고 있으므로, 이들은 인코딩되어 있고, 내부의 자격증명과 비밀은 AES-256 알고리즘을 사용하여 개별적으로 암호화되어 있습니다. 공격자가 파일을 디코드할 수 있지만, 그들은 인증 비밀번호와 키를 암호화된 형태로 볼 수 있을 것이라고 네트워크 보안 회사는 설명했습니다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.