중국 APT41, USAHerds 앱을 통해 미국 정부 네트워크에 침입

Mandiant 보안의 보안 연구원은 중국 국가의 지원을 받는 것으로 여겨지는 사이버 범죄 조직인 APT41 의 최근 활동에 대한 조사 결과를 자세히 설명하는 최근 보고서를 발표했습니다. Mandiant에 따르면 APT41은 Log4j 공격 과 제로 데이 취약점을 조합하여 여러 미국 정부 네트워크를 손상시키는 데 성공했습니다.

제로데이와 Log4j를 함께 사용

문제의 제로데이 취약점은 USAHerds라는 애플리케이션에서 발견됩니다. 미국 전역의 축산업자들이 "동물 건강 정보 관리 시스템"으로 사용하는 도구입니다. 이 응용 프로그램은 이제 몇 년 동안 사용되었습니다. 그러나 APT41이 보안 결함을 악용한 것은 최근의 일입니다.

APT41은 전통적 으로 사이버 스파이 활동에 참여 하는 국가 후원 중국 기반 복장으로 여겨집니다. 이 최신 공격에서 연구원들은 새로운 도구, 탐지를 회피하는 새로운 방법 및 위협 행위자가 사용하는 새로운 기술을 발견했습니다.

미국 네트워크에 액세스하는 데 사용되는 취약점은 CVE-2021-44207로 추적됩니다. 이 공격은 악명 높은 Log4j 취약점 을 이용하는 두 갈래 접근 방식을 사용했습니다. USAHerds의 취약점은 2021년 11월에 패치되었으며 애플리케이션의 하드 코딩된 정적 유효성 검사 및 암호화 키 사용에 의존하여 결국 시스템에서 원격 코드 실행을 허용했습니다.

연구원에 따르면 애플리케이션은 각 설치마다 고유한 키를 생성하는 대신 설치된 모든 인스턴스에서 이러한 정적 키를 공유했는데 이는 심각한 보안 문제입니다.

APT41이 액세스하는 최소 6개의 네트워크

APT41이 어떻게 공유 키 값을 확보했는지 알 수 있는 방법은 없지만 일단 액세스하면 USAHerds 애플리케이션을 실행하는 "모든 서버"에 액세스할 수 있습니다. 6개의 미국 정부 네트워크가 공격으로 손상된 것으로 알려져 있지만 Mandiant는 단순히 기록되지 않은 피해자가 더 있을 것으로 예상합니다.

APT41은 2019년으로 거슬러 올라가는 동일한 복장과 관련된 공격으로 오랫동안 미국 기반 엔티티를 목표로 삼고 있습니다. 이 그룹은 회피에 있어 날카롭고 민첩하며 목표에 잠입할 때 고급 기술을 사용하는 것으로 알려져 있습니다.