Fox Kitten 캠페인 – 이란 해커들, 공격에 원데이 VPN 취약점 악용

Fox Kitten Campaign – Iranian hackers exploit 1-day VPN flaws in attacks

이란과 연결된 공격자들이 대기업에 침투하기 위해 Fox Kitten 캠페인을 통해 Pulse Secure, Fortinet, Palo Alto Networks, Citrix VPN을 공격하고 있는 것으로 나타났습니다.

연구원들은 이 캠페인은 이스라엘과 전 세계의 회사 및 조직 수십 곳을 노렸으며, 패치되지 않은 VPN과 RDP 서비스를 주로 악용했다고 밝혔습니다.

이들은 IT, 통신, 석유, 가스, 항공, 정부, 보안 등 다양한 분야를 노렸습니다.

ClearSky는 보고서를 발행해 “이 공격 벡터는 이란 APT 그룹만이 사용한 것은 아닙니다. 사이버 범죄 그룹, 랜섬웨어 공격, 정부 지원을 받는 다른 공격 그룹 또한 이 공격 벡터를 주로 사용하게 되었습니다.”

“우리는 2020년에도 많은 공격자가 이 공격벡터를 활용하여 VPN과 기타 원격 시스템에 존재하는 새로운 취약점을 악용할 것이라 예상합니다. 이란의 APT 그룹은 우수한 공격 기술을 개발해냈으며 꽤 짧은 시간인 몇 시간에서 1~2주 내에 원데이 취약점을 악용할 수 있었던 것으로 나타났습니다.”

전문가들은 이란 해커들이 원데이 결함을 집중적으로 노렸으며, 이를 악용한 익스플로잇을 개발하는데 상당한 발전이 있었다고 밝혔습니다.

ClearSky는 이란의 APT 그룹이 VPN 취약점이 공개된 지 단 몇시간 안에 이를 악용한 경우를 목격했다고 밝혔습니다.

Fox Kitten 캠페인의 조사에 따르면, Fox Kitten 캠페인이 사용한 인프라가 APT34, APT33, APT39와 같은 다른 이란 관련 APT 그룹이 사용한 인프라와 중복될 가능성이 높은 것으로 나타났습니다.

2019년, 이란 관련 APT 그룹들이 Pulse Secure “Connect” VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379), Palo Alto Networks “Global Protect” VPN (CVE-2019-1579)의 취약점을 재빠르게 악용했습니다.

위 공격은 8월 말 처음 발견되었으며, 최근에는 CVE-2019-19781 Citrix “ADC” VPN 취약점까지 악용하기 시작했습니다.

공격자는 기업 네트워크에 접근하여 시스템을 백도어에 감염시키고 네트워크 내부에서 측면 이동하여 다른 컴퓨터를 해킹하기 위해 이 VPN 취약점을 악용했습니다.

이들은 VPN 시스템의 취약점을 악용하여 타깃 네트워크를 해킹한 후 몇 가지 작업을 수행하고 다양한 툴을 사용하여 네트워크 내에서 높은 권한을 유지할 수 있었습니다.

해커들이 권한을 상승시키기 위해 사용한 툴은 ‘Juicy Potato,’ Procdump, Mimikatz, Sticky Keys 등 입니다.

또한 Putty, Plink, Ngrok, Serveo, FRP와 같은 정식 툴도 사용한 것으로 나타났습니다.

ClearSky가 공개한 공격자들이 사용한 악성코드 목록은 아래와 같습니다.

STSRCheck – 직접 개발한 데이터베이스 및 오픈 포트 매핑 툴

POWSSHNET – 직접 개발한 백도어 악성코드 – SSH 터널링을 통한 RDP

VBScript – C&C 서버에서 TXT 파일 다운로드 후 포터블 실행파일로 이를 통합

Cs.exe를 사용하는 소켓 기반 백도어 – 하드코딩된 IP 주소로 소켓 기반 연결을 오픈하는 exe 파일

Port.exe – 선 정의된 IP 포트를 스캔하는 툴

연구원들은 Fox Kitten 캠페인의 목표는 타깃 네트워크의 정보를 수집하고 백도어를 설치하는 것이라 추측했지만, 향후 데이터 삭제 악성코드(ZeroCleare, Dustman 등)을 설치할 수 있다고 우려했습니다.

참고 : 

https://securityaffairs.co/wordpress/97957/apt/fox-kitten-campaign-vpn-bugs.html

https://www.clearskysec.com/fox-kitten/

https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign-v1.pdf