이란의 해커들, 기업 네트워크 접근 권한 판매해

Iranian hackers are selling access to corporate networks

 

이란의 해커 그룹이 언더그라운드 포럼에서 다른 공격자들에게 해킹한 기업 네트워크에 대한 접근 권한을 판매하고 있는 것으로 나타났습니다. 또한 CVE-2020-5902에 취약한 F5 BIG-IP 기기를 악용하려고 시도하고 있었습니다.

 

이 이란 해커들은 2017년부터 활동해 왔으며 여러 보안 회사에서 Pioneer Kitten, Fox Kitten, Parisite라는 이름으로 추적하고 있습니다.

 

CrowdStrike는 금일 발표된 보고서를 통해 아래와 같이 밝혔습니다.

“이 공격자는 주로 이란 정부에 이득이 될만한 민감 정보를 보유하고 있는 기관에 대한 접근 권한을 얻어 관리하고 있는 것으로 보입니다.”

 

지난 7월 F5 BIG-IP 기기로 공격 확대돼

 

Dragos의 보안 연구원들은 이 해킹 그룹이 기업 및 산업 네트워크에 접근하기 위해 인터넷에 노출된 Fortinet (CVE-2018-13379), PulseSecure (CVE 2019-11510, CVE 2019-11539), Citrix ADC/Gateway (CVE 2019-19781), Palo Alto Networks VPN (CVE-2019-1579) 어플라이언스 내 알려진 취약점을 노리고 있다고 밝혔습니다.

 

최근에 Pioneer Kitten은 7월 초 F5가 BIG-IP 애플리케이션 딜리버리 컨트롤러(ADC) 내 치명적인 원격 코드 실행(RCE) 취약점을 즉시 패치되지 않은 기업의 BIG-IP 기기를 노리는 툴을 사용하기 시작했습니다.

 

해커가 이 취약점을 성공적으로 악용할 경우 취약한 시스템 전체를 완전히 손상시킬 수 있을 뿐 아니라 콘트롤러 애플리케이션 트래픽을 가로채고 피해자의 내부 내트워크 내 다른 타깃으로 측면 이동이 가능합니다.

 

이 활동은 2020년 7월 초부터 이란 해커들이 취약한 Big-IP ADC 기기를 해킹하려 시도하고 있다는 FBI의 8월 민간 산업 알림 경고와 관련이 있습니다.

 

네트워크 접근 권한 판매

 

Pioneer Kitten은 이전에 APT33 (Magnallium, Elfin), APT39 (Chafer, Remix Kitten), APT34 (Helix Kitten, OilRig) 등 이란 정부의 지원을 받는 다른 해킹 그룹에 대한 초기 네트워크 접근 권한을 제공하고 있던 것이 발견된 적이 있습니다.

 

CrowdStrike에 따르면, Pioneer Kitten은 2020년 7월 다른 해커들에게 이전에 해킹했던 기업 네트워크에 대한 접근 권한을 판매하려 시도했습니다.

 

북미 및 이스라엘 타깃 집중적으로 공격

 

CrowdStrike의 분석에 따르면 Pioneer Kitten는 미국, 이스라엘, 독일, 호주, 프랑스, ​​오스트리아, 핀란드, 헝가리, 이탈리아, 쿠웨이트, 레바논, 말레이시아, 폴란드, 사우디 아라비아, 아랍에미리트의 많은 기관을 노렸습니다.

 

<이미지 출처: ClearSky>

 

또한 "기술, 정부, 국방, 의료, 항공, 미디어, 학술, 엔지니어링, 컨설팅, 전문 서비스, 화학, 제조, 금융 서비스, 보험, 소매" 업계를 포함한 광범위한 산업을 노렸습니다.

 

이들은 특히 북미 및 이스라엘의 기술, 정보, 국방, 의료 조직을 중점적으로 노렸습니다.

 

CrowdStrike는 이 그룹에 대해 이란 정부에서 제어하는 해킹 그룹이 직접 제어한다기 보다 “이란 정부를 지원하는 계약 작전”이라 설명했습니다.

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/iranian-hackers-are-selling-access-to-corporate-networks/

https://www.crowdstrike.com/blog/who-is-pioneer-kitten/