MITRE가 지난 1월에 국가 배후 해커들이 이반티 제품의 두 개 제로데이 취약점을 통해 침해를 당한 것으로 드러났다.

이반티는 최근 블로그 게시물에서 알 수 없는 위협 행위자가 이반티 커넥트 시큐어의 두 가지 취약점을 통해 자사 VPN 중 하나를 악용하여 네트워크에 대한 정찰을 수행했다고 설명했다.

당시 이반티는 두 가지 취약점(CVE-2023-46805 및 CVE-2024-21887)이 최소 10개의 고객사에 대한 공격에 사용되었다고 밝혔다.

마이터 측은, 지난주 프로토타이핑 및 기타 작업이 이루어지는 미분류 공동 연구 개발 네트워크가 국가 위협 행위자에 의해 손상된 것을 발견했다고 말했다. 하지만 이 사건으로 인해 마이터의 핵심 엔터프라이즈 네트워크나 파트너 시스템이 영향을 받았다는 징후는 없다고 전했다.

공격자들은 지난 1월 초에 네트워크 경계에 있는 Ivanti Connect Secure 어플라이언스를 손상시켰고 제로데이 CVE가 공개되고 보고되기 전에 VMware 인프라로 측면 이동한것으로조사됐다.

마이터는 해커들이 이반티 취약점을 사용하여 손상된 관리자 계정을 장악함으로써 측면으로 이동했다고 설명했다. 공격자들은 지속성을 유지하고 자격 증명을 수집하기 위해 정교한 백도어와 웹쉘을 조합하여 사용했다.

한편 마이터는 이반티 시스템을 업그레이드, 교체, 강화하라는 정부 및 이반티 조언을 따랐지만 VMware 인프라로의 측면 이동은 감지하지 못했다고 말했다.

이 사건에 대한 조사가 진행 중이지만, 가장 사이버에 성숙한 조직도 정교한 위협 행위자에 의해 어떻게 침해될 수 있는지를 보여준 사례다.

마이터는 향후 몇 주 내에 다른 업데이트를 통해 공격의 기술적 세부 사항을 자세히 분석할 예정이지만, 그간의 경험을 바탕으로 조직을 위한 권장 사항 목록을 제공할것 이라고 밝혔다.

마이터는 공격 배후를 밝히진 않았지만 전문가들은 중국의 소행으로 보고 있다.

이반티 제품은 해커들이 미국 정부 기관 뿐만아니라 여러 정부 및 주요 조직에 침투하는 주요 해킹 통로가 되고있다.