다중 라이센스 할인 견적
위협 데이터베이스 백도어 FIRESTARTER Backdoor

FIRESTARTER Backdoor

백도어, 지능형 지속 위협(APT)년에 Mezo 년까지
번역 :

사이버 보안 분석가들은 익명의 연방 민간 기관이 2025년 9월 시스코 파이어파워(Firepower) 장비(ASA(Adaptive Security Appliance) 소프트웨어 실행 중)를 이용한 해킹 공격을 받았다고 밝혔습니다. 조사 결과, 해당 기관은 이전에 보고된 적 없는 '파이어스타터(FIRESTARTER)'라는 악성코드를 발견했는데, 이 악성코드는 감염된 시스템에 대한 은밀한 원격 접근 및 장기적인 제어 권한을 제공하도록 설계되었습니다.

이번 침입은 고도 지속적 위협(APT) 그룹이 시스코 ASA 펌웨어를 표적으로 삼아 진행한 광범위한 캠페인의 일부로 추정되며, 해당 그룹은 이후 패치된 알려진 취약점을 악용했습니다.

고위험 시스코 취약점을 통한 초기 침입

공격자들이 시스코의 심각한 보안 취약점 두 가지를 악용하여 노출된 장치에 침입한 것으로 알려졌습니다.

  • CVE-2025-20333 (CVSS 9.9): 부적절한 입력 유효성 검사로 인해 유효한 VPN 자격 증명을 가진 인증된 원격 공격자가 조작된 HTTP 요청을 통해 루트 권한으로 임의 코드를 실행할 수 있습니다.
  • CVE-2025-20362 (CVSS 6.5): 부적절한 입력 유효성 검사로 인해 인증되지 않은 원격 공격자가 조작된 HTTP 요청을 사용하여 제한된 URL 엔드포인트에 접근할 수 있습니다.

패치가 제공되더라도, 복구 조치 이전에 침해당한 시스템은 여전히 손상된 상태로 남아 있을 수 있습니다.

FIRESTARTER는 패치 후에도 지속적인 접근을 가능하게 합니다.

FIRESTARTER는 펌웨어 업그레이드 및 일반적인 재부팅에도 살아남는 능력이 특징입니다. 이 악성 프로그램은 장치의 마운트 시퀀스를 변경하여 시작 프로세스에 침투하며, 장치가 정상적으로 재부팅될 때마다 자동으로 재활성화됩니다.

강제로 전원을 껐다 켜는 것만이 임플란트를 일시적으로 중단시킬 수 있습니다. 일반적인 종료, 재시작 또는 재부팅 명령으로는 임플란트를 제거할 수 없습니다. 연구원들은 또한 FIRESTARTER가 RayInitiator라는 이전 부트킷과 유사하다는 점을 발견했습니다.

LINA 후킹을 통한 심층 시스템 조작

조사 결과, FIRESTARTER는 시스코 ASA 네트워크 처리 및 보안 운영을 담당하는 핵심 엔진인 LINA 내부에 후킹을 시도하는 것으로 밝혀졌습니다. 이러한 조작을 통해 공격자는 정상적인 기능을 가로채고, 소위 '매직 패킷'을 포함하는 특수하게 조작된 WebVPN 인증 요청을 통해 전달되는 임의의 셸코드를 실행할 수 있습니다.

이 메커니즘은 취약점이 패치된 후에도 악의적인 활동이 지속될 수 있도록 합니다.

LINE VIPER 툴킷, 공격자 역량 확장

같은 사건 발생 당시, 공격자들은 LINE VIPER라는 사후 공격 프레임워크를 배포하여 침해된 환경에 대한 제어권을 크게 확장했습니다. 해당 툴킷은 다음과 같은 작업을 수행하는 것으로 관찰되었습니다.

  • CLI 명령 실행
  • 네트워크 트래픽 캡처
  • 공격자가 제어하는 장치에 대한 VPN 인증, 권한 부여 및 계정 관리(AAA) 우회
  • syslog 경고 억제
  • 관리자 CLI 활동 수집
  • 시스템 재부팅 지연 강제 실행

LINE VIPER가 제공한 상승된 권한 덕분에 2025년 9월 25일 이전에 FIRESTARTER를 배포할 수 있었던 것으로 알려졌습니다. 공격자들은 불과 지난달에도 해당 기기에 다시 접근할 수 있었습니다.

더 광범위한 첩보 작전과의 연관성

UAT4356(일명 Storm-1849)이라는 명칭으로 활동을 추적하는 연구원들은 해당 활동이 이전 공격 캠페인과 연관되어 있음을 발견했습니다. 2024년 5월에 실시된 이전 평가에서는 중국과의 연관성이 시사되었습니다.

이 클러스터는 이전에 시스코의 제로데이 취약점 두 가지를 악용하여 정찰 및 네트워크 트래픽 가로채기에 사용되는 맞춤형 악성 소프트웨어를 배포한 ArcaneDoor 캠페인과 연관된 바 있습니다.

피해 조직을 위한 핵심 복구 조치

보안 전문가들은 Cisco Secure ASA 또는 Firepower Threat Defense(FTD) 플랫폼과 관련된 침해 사고가 확인될 경우, 이를 완전한 신뢰 실패로 간주해야 한다고 강력히 권고합니다. 기존 장치 구성은 신뢰할 수 없는 것으로 여겨야 합니다.

FIRESTARTER를 완전히 제거하려면 조직은 영향을 받는 장치를 재설치하고 Cisco의 수정된 소프트웨어 릴리스로 업그레이드해야 합니다. 재설치가 완료될 때까지는 소프트웨어 기반 재부팅 명령으로는 영구적인 악성 프로그램이 제거되지 않으므로 장치의 전원을 물리적으로 차단했다가 다시 연결하여 콜드 재시작을 권장합니다.

트렌드

SnappyClient 멀웨어

멀웨어, 원격 관리 도구
SnappyClient는 C++로 작성되었으며 HijackLoader라는 로더를 통해 배포되는 고도로 정교한 악성 프로그램입니다. 이 프로그램은 원격 접속 트로이목마(RAT)처럼 작동하여 사이버 범죄자들이 감염된 시스템을 제어하고 민감한 데이터를 추출할 수 있도록 합니다. 시스템에 침투한 후에는 명령 및 제어(C2) 서버에 연결하여 명령을 수신하고...

가짜 스포티파이 리워드 사이트

불량 웹사이트
가짜 'Spotify 리워드 프로그램' 웹사이트들이 온라인 광고, 소셜 미디어 게시물, 그리고 공격적인 팝업 광고를 통해 빠르게 확산되고 있습니다. 이러한 페이지들은 몇 가지 간단한 단계를 완료하면 매력적인 혜택, 무료 구독, 프리미엄 업그레이드 또는 고액 상품권을 받을 수 있다고 약속합니다. 언뜻 보기에는 세련되고 신뢰할 만해 보이며,...

페이팔 PDF 이메일 사기

불량 웹사이트, 피싱
사이버 범죄자들이 수법을 계속해서 정교하게 다듬으면서 피싱 공격을 탐지하기가 점점 더 어려워지고 있습니다. 특히 악명 높은 사기 수법 중 하나는 페이팔 PDF 이메일 사기인데, 이는 유명 금융 서비스에 대한 신뢰를 악용하는 수법입니다. 사용자들은 예상치 못한 이메일, 특히 첨부 파일이 있거나 긴급한 요청이 포함된 이메일을 받을 때 주의해야 합니다....

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
32,871
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,234
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Fuq.com

사기성 안티스파이웨어 프로그램, 맥 맬웨어
21,209
Fuq.com은 포르노 콘텐츠가 포함된 웹사이트를 홍보하는 애드웨어 유형의 프로그램입니다. 이 잠재적으로 원하지 않는 프로그램(PUP)의 광고 캠페인은 매우 공격적입니다. 그들은 감염된 장치에 관련 광고, 배너 또는 비디오를 표시하여 피해자가 프로모션 페이지의 의심스러운 성인 콘텐츠를 보도록 강요합니다. Fuq.com은 또한 Mac 장치에 영향을...
로드 중...