최근 해커들이 SolarWinds Web Help Desk(WHD)의 취약점을 악용하여 Zoho ManageEngine, Velociraptor 등 합법적인 도구를 악의적으로 사용한 공격이 발견되었습니다. Huntress Security 연구진에 따르면, 공격자는 최소 3개 조직을 대상으로 Cloudflare 터널을 통한 지속성 확보와 Velociraptor를 명령제어(C2) 도구로 활용하였습니다. 이 공격은 2026년 2월 7일에 탐지되었으며, 1월 16일부터 시작된 캠페인의 일부로 추정됩니다.
공격자는 CVE-2025-40551 및 CVE-2025-26399와 같은 치명적인 취약점을 이용해 인증 없이 원격 코드 실행을 달성하였습니다. 초기 침투 후, Zoho ManageEngine Assist 에이전트를 설치하고, Velociraptor를 추가로 배포하여 공격자의 명령을 수행할 수 있도록 했습니다. 또한 Cloudflared를 설치해 이중 터널 기반 접근 경로를 확보하고, QEMU를 이용한 SSH 백도어 및 Windows Defender와 Firewall 비활성화 등으로 추가 악성 행위가 차단되지 않도록 조치하였습니다.
보안 전문가들은 SolarWinds Web Help Desk를 2026.1 이상 버전으로 업그레이드하고, 관리자 인터페이스의 인터넷 접근을 차단하며, 관련 자격 증명을 모두 재설정할 것을 권고합니다. 또한 Huntress는 Zoho Assist, Velociraptor, Cloudflared, VS Code 터널 활동 탐지를 위한 Sigma 룰과 침해 지표를 공유하였습니다. 이번 공격의 배후 세력은 특정되지 않았으며, 침해된 환경은 "고가치 자산"으로만 언급되었습니다.
요약
- 해커가 SolarWinds Web Help Desk 취약점을 악용해 Zoho ManageEngine, Velociraptor 등 합법적 도구로 공격을 수행하였다.
- 공격자는 치명적 취약점(CVE-2025-40551, CVE-2025-26399)을 이용해 인증 없이 원격 코드 실행을 달성하였다.
- Cloudflare 터널, SSH 백도어, 보안 솔루션 비활성화 등 다양한 방법으로 지속성과 은밀성을 확보하였다.
- 보안 전문가들은 제품 업그레이드, 인터넷 접근 차단, 자격 증명 재설정 등 대응책을 권고하였다.
- 공격 배후는 특정되지 않았으며, 침해된 환경은 고가치 자산으로 분류되었다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.