볼트 태풍(Volt Typhoon)으로 중요 인프라에 대한 악성 활동 증가

중국의 지원을 받는 사이버 스파이 그룹 Volt Typhoon은 공격 인프라를 확장하기 위해 정교하고 은밀한 캠페인을 통해 레거시 Cisco 장치를 체계적으로 표적으로 삼고 있습니다.

많은 경우, 중요 인프라를 표적으로 삼는 것으로 알려진 위협 행위자는 2019년 라우터의 몇 가지 취약점을 악용하여 대상 장치에 침입하여 이를 제어하고 있습니다.

미국의 중요 인프라 부문을 표적으로 삼음

SecurityScorecard 위협 인텔리전스 팀의 연구원들은 최근 공급업체에 대한 후속 조사를 수행하면서 이러한 활동을 발견했습니다. 언론 보도 Volt Typhoon이 미국의 중요 인프라 조직에 침입하여 잠재적인 향후 혼란을 위한 기반을 마련하는 것에 대해 설명합니다. 공격은 수도 시설, 전력 공급업체, 운송 및 통신 시스템을 표적으로 삼았습니다. 이 그룹의 피해자에는 미국, 영국 및 호주의 조직이 포함되었습니다.

공급업체 보고서 중 하나는 다음과 같습니다. 루멘는 다음으로 구성된 봇넷을 설명했습니다. 소규모 사무실/홈 오피스(SOHO) 라우터 Volt Typhoon과 기타 중국 위협 그룹은 고가치 네트워크에 대한 공격에서 명령 및 제어(C2) 네트워크를 사용하고 있습니다. Lumen이 보고서에서 설명한 네트워크는 주로 Cisco, DrayTek 및 Netgear의 단종 라우터로 구성됩니다.

SecurityScorecard 연구원들은 Lumen이 보고서와 함께 발표한 침해 지표(IoC)를 사용하여 Volt Typhoon 캠페인과 관련된 새로운 인프라를 식별할 수 있는지 확인했습니다. 그만큼 조사 SecurityScorecard의 위협 연구원인 Rob Ames는 이번 조사를 통해 위협 그룹의 활동이 이전에 생각했던 것보다 더 광범위할 수 있음을 보여주었다고 말했습니다.

예를 들어, Volt Typhoon은 SecurityScorecard가 30일 동안 C325 봇넷에서 관찰한 단종된 Cisco RV1,116/320 라우터의 325%(2개 중 37개)를 손상시킨 것으로 보입니다. 보안 공급업체의 연구원들은 1년 2023월 7일부터 2024년 XNUMX월 XNUMX일 사이에 손상된 Cisco 장치와 알려진 Volt Typhoon 인프라 간의 정기적인 연결을 관찰했는데, 이는 매우 활발한 활동을 시사합니다.

SecurityScorecard의 조사 결과 Volt Typhoon은 현재 이 그룹이 목표로 삼고 있는 Cisco 라우터 및 기타 네트워크 에지 장치에 지금까지 알려지지 않은 웹 셸인 "fy.sh"를 배포하는 것으로 나타났습니다. 또한 SecurityScorecard는 Volt Typhoon 활동과 연결된 것으로 보이는 여러 개의 새로운 IP 주소를 식별할 수 있었습니다.

Ames는 "SecurityScorecard는 이전에 Volt Typhoon에 연결된 IoC를 사용하여 우리가 관찰한 새로 손상된 장치, 이전에 지정되지 않은 웹셸(fy.sh) 및 새 IoC를 나타낼 수 있는 기타 IP 주소를 식별했습니다."라고 말했습니다.

지상 생활 사이버 공격

볼트 타이푼 위협 그룹은 미국 사이버 보안 및 인프라 기관(CISA) 미국의 주요 인프라 부문을 표적으로 삼는 국가 후원의 중국 위협 행위자로 확인되었습니다. Microsoft2023년 2021월에 이 그룹에 대해 처음 보고한 는 이 그룹이 적어도 XNUMX년 XNUMX월부터 활동하고 있으며 중국에 기반을 두고 있으며 다양한 육지 생활 기술을 사용하여 대규모 사이버 스파이 활동을 수행하고 있다고 설명했습니다. 회사는 이 그룹이 잠재적인 미래 분쟁 동안 미국과 아시아 간의 중요한 커뮤니케이션 능력을 방해할 수 있는 능력을 개발하고 있다고 평가했습니다.

Ames는 Volt Typhoon이 데이터 전송을 위해 손상된 라우터를 사용하는 것은 그룹이 스텔스에 대한 의지를 나타내는 하나의 징후라고 말합니다.

“이 그룹은 손상된 라우터와 동일한 지역에 있는 조직을 표적으로 삼을 때 지리적 기반 탐지를 피하기 위해 이러한 장치를 통해 트래픽을 라우팅하는 경우가 많습니다.”라고 그는 말합니다. "관련 트래픽이 해당 조직이 기반을 둔 지역에서 발생한 것으로 보이는 경우 이러한 조직은 악의적인 활동을 인지할 가능성이 낮을 수 있습니다."

취약한 폐장비에 대한 사이버 타겟팅

Ames는 Volt Typhoon이 수명이 다한 장치를 표적으로 삼는 것도 공격자의 관점에서 볼 때 많은 의미가 있다고 말합니다. Volt Typhoon이 표적으로 삼고 있는 Cisco RV35 라우터와 관련된 CISA의 알려진 악용 취약점 카탈로그에 있는 9개를 포함하여 CVSS 척도에서 심각도가 10점 중 320점 이상인 것으로 알려진 심각한 취약점이 약 2021개 있습니다. Cisco는 XNUMX년 전인 XNUMX년 XNUMX월에 해당 기술에 대한 버그 수정, 유지 관리 릴리스 및 수리 발행을 중단했습니다. Volt Typhoon에 연결된 봇넷에는 Cisco 장치 외에도 손상된 레거시 DrayTek Vigor 및 Netgear ProSafe 라우터도 포함되어 있습니다.

Ames는 “장치 자체의 관점에서 볼 때 이는 쉬운 일이 아닙니다.”라고 말합니다. "'수명 종료'는 장치 제조업체가 더 이상 업데이트를 발행하지 않는다는 것을 의미하므로 장치에 영향을 미치는 취약점은 해결되지 않고 장치가 손상될 가능성이 높습니다."

Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 수명이 다한 Cisco 라우터에 대한 Volt Typhoon의 전략적 목표, fy.sh와 같은 맞춤형 도구 개발, 지리적, 부문별 타겟팅이 매우 정교한 운영을 암시한다고 말합니다.

Guenther는 “레거시 시스템에 초점을 맞추는 것은 위협 행위자들 사이에서 일반적인 전술이 아닙니다. 왜냐하면 널리 알려지거나 문서화되지 않을 수 있는 오래된 시스템과 해당 취약점에 대한 구체적인 지식이 필요하기 때문입니다.”라고 Guenther는 말합니다. "그러나 이는 특히 광범위한 정찰을 수행하고 맞춤형 공격을 개발할 자원과 동기를 가진 국가 후원 공격자 사이에서 증가하는 추세입니다."

예를 들어, 그녀는 소위 말하는 것을 목표로 하는 여러 위협 행위자를 지적합니다. Ripple20 취약점 수백만 대의 레거시 IoT 장치에 영향을 준 TCP/IP 스택과 구형 VPN 제품의 결함을 표적으로 삼는 중국 및 이란 위협 그룹이 있습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyber-risk/volt-typhoon-ramps-up-malicious-activity-critical-infrastructure