2020-10-23 17:40 (금)
이란 해킹그룹 ‘MuddyWater’…제로로그온 취약점 악용해 사이버 공격
상태바
이란 해킹그룹 ‘MuddyWater’…제로로그온 취약점 악용해 사이버 공격
  • hsk 기자
  • 승인 2020.10.07 16:36
이 기사를 공유합니다

마이크로소프트가 이란 관련 APT 그룹인 MuddyWater가 수행한 Zerologon 취약점 악용 사이버 공격에 대해 경고했다.

CVE-2020-1472로 추적되는 Zerologon은 Netlogon에 존재하는 권한 상승 취약점이다. Netlogon 서비스는 윈도 클라이언트 인증 아키텍처에 사용되는 매커니즘으로, 로그온 요청을 확인하고 도메인 컨트롤러를 등록, 인증 및 설정한다.

공격자는 이 취약점을 악용해 도메인 컨트롤러 자체를 포함한 모든 컴퓨터로 위장해 원격 프로시저 호출을 실행할 수 있다. 또한 Netlogon 인증 프로세스 보안 기능을 비활성화하고 도메인 컨트롤러 활성화 디렉토리에 있는 컴퓨터 암호를 변경할 수 있다. 다만, 공격을 수행하기 위해 공격자는 대상 네트워크에 접근할 수 있어야 한다.

엔터프라이즈 윈도 서버 관리자들은 결함을 해결하기 위해 2020년 8월 릴리즈된 패치를 설치해야 한다. 마이크로소프트 위협 인텔리전스 센터는 해당 취약점을 악용한 공격이 9월 13일 이후 급증했다고 언급했다.

마이크로소프트는 이 공격을 MuddyWater, SeedWorm, TEMP.Zagros라고도 알려진 이란 사이버 간첩 그룹 MERCURY와 연결했다. 첫번째 MuddyWater 캠페인은 2017년 말 중동 지역을 타깃으로 할 때 발견되었다.

MuddyWater 공격자는 첫 번째 PoC 코드가 게시된지 약 1주일 후부터 활동을 시작했고, 마이크로소프트는 첫 번째 Zerologon 공격 시도를 탐지하기 시작했다. 당시 미 국토 안보부 CISA는 9월 21일까지 정부 기관에 Zerologon 취약점(CVE-2020-1472) 해결을 명령하는 긴급 지침을 발표했다.


[하반기 최대 공공·금융·기업 정보보안&개인정보보호 컨퍼런스 PASCON 2020 개최]

-날짜: 2020년 11월 10일 화요일

-장소: 서울 양재동 더케이호텔서울 2층 가야금홀

-대상: 공공, 금융, 기업 정보보안 및 개인정보보호 실무자

(이외 보안실무와 관련 없는 등록자는 참석이 제한 될 수 있습니다.)

-교육이수: 공무원, 기업 보안의무교육 7시간 인정. CPPG, CISSP 등 교육인정

-전시회: 국내외 최신 보안솔루션 트랜드를 한 눈에

-사전등록: 클릭

-참가기업 모집중: mkgil@dailysecu.com으로 문의

★정보보안 대표 미디어 데일리시큐!★