해커들이 두 개의 제로데이 취약점, CVE-2023-20198과 CVE-2023-20273을 이용해 50,000개 이상의 Cisco IOS XE 장치를 해킹하여 특권 사용자 계정을 생성하고 악성 LUA 백도어를 설치한 것으로 알려졌습니다. 이 백도어는 재부팅 시 제거되지만, 공격 중 생성된 로컬 사용자는 계속 남아있습니다. 이러한 소식이 전해진 이후, 사이버 보안 회사와 연구자들은 공개적으로 노출된 80,000개의 Cisco ISO XE 장치 중 약 60,000개가 이 백도어로 인해 침해되었다고 발견했습니다.

그러나 토요일에 여러 사이버 보안 조직들은 악성 백도어가 설치된 Cisco IOS XE 장치의 수가 불가사의하게 60,000개에서 100-1,200개로 급감했다고 보고했습니다. 이에 대해 Onyphe의 창립자이자 CTO인 Patrice Auffret는 공격자들이 자신들의 존재를 숨기기 위해 백도어를 업데이트하고 있을 것이라고 추정했습니다. 또한, The Shadowserver Foundation의 CEO인 Piotr Kijewski도 10/21 이후 백도어의 급격한 감소를 확인했습니다.

요약

- 해커들이 두 개의 제로데이 취약점을 이용해 50,000개 이상의 Cisco IOS XE 장치를 해킹하고 악성 LUA 백도어를 설치했다.
- 이 백도어는 재부팅 시 제거되지만, 공격 중 생성된 로컬 사용자는 계속 남아있다.
- 여러 사이버 보안 조직들은 악성 백도어가 설치된 Cisco IOS XE 장치의 수가 불가사의하게 60,000개에서 100-1,200개로 급감했다고 보고했다.
- Onyphe의 창립자이자 CTO인 Patrice Auffret는 공격자들이 자신들의 존재를 숨기기 위해 백도어를 업데이트하고 있을 것이라고 추정했다.
- The Shadowserver Foundation의 CEO인 Piotr Kijewski도 10/21 이후 백도어의 급격한 감소를 확인했다.

Reference

https://www.bleepingcomputer.com/news/security/hackers-update-cisco-ios-xe-backdoor-to-hide-infected-devices/

*※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.*