TL; DR
- 미국 재무부는 2024년 XNUMX월 중국 국가가 지원하는 지능형 지속 위협(APT) 그룹에 기인한 사이버 공격을 받았습니다.
- 해커는 타사 공급업체 BeyondTrust의 원격 지원 소프트웨어에서 명령 주입 취약점(CVE-2024-12356 및 CVE-2024-12686)을 악용했습니다.
- 공격자는 재무부 워크스테이션에 대한 허가받지 않은 원격 접근 권한을 얻어 기밀이 아닌 문서를 검색했습니다.
- BeyondTrust의 소프트웨어가 진입점 역할을 했지만, 초점은 재무 시스템에 맞춰져 있었습니다.
***
2024년 XNUMX월, 미국 재무부는 중국 국가가 지원하는 APT 그룹이 조직한 정교한 사이버 공격의 희생양이 되었습니다. 이 그룹은 정부 기관, 중요 인프라 및 민간 부문 조직을 표적으로 삼아 지적 재산을 훔치고 간첩 활동을 수행하는 것으로 알려져 있습니다.
진입점: 취약한 원격 지원 소프트웨어
공격자는 BeyondTrust의 원격 지원 소프트웨어에서 두 가지 명령 주입 취약점(CVE-2024-12356 및 CVE-2024-12686)을 악용했습니다. 이 소프트웨어는 일반적으로 원격 액세스 및 IT 지원에 사용되므로 가치가 높은 대상입니다. 공격자는 이 취약점을 사용하여 우회했습니다. 인증, 허가받지 않은 명령을 실행하고 연결된 시스템을 제어합니다. 도난당한 API 키를 사용하여 해커는 재무부 워크스테이션에 액세스하고 비밀이 아닌 문서를 검색했으며 잠재적으로 네트워크의 다른 부분을 조사했습니다.
전술은 중국 국가가 지원하는 APT 그룹을 가리킨다
이 공격은 중국 정부가 지원하는 APT 그룹의 소행으로 추정되지만, 중국은 이를 부인하고 있다. 중국 APT 그룹은 다음과 같은 역사를 가지고 있다.
- 지속적인 액세스를 위한 소프트웨어 취약점 악용
- 정부 및 방위 부문에 대한 간첩 활동 수행
- 기술 및 에너지와 같은 산업의 지적 재산을 타겟팅합니다.
이번 침해는 중국 국가가 지원하는 APT 그룹이 타사의 취약점을 악용하고 이를 이용해 더 광범위한 네트워크 침투를 시도하던 기존 전략과 일치합니다.
영향과 얻은 교훈
침해는 기밀이 아닌 재무부 시스템에 국한되었으며, 기밀 데이터 노출에 대한 증거는 없습니다. 그러나 이는 귀하의 신원 공격 표면적으로는 타사 소프트웨어에 입증된 보안 제어를 겹쳐 놓은 심층 방어 전략으로, 예를 들어 MFA 또는 자동화된 특권 액세스 보안을 사용합니다. 이를 통해 특권 액세스 및 ID 주변에 여러 방어선을 배치하는 동시에 취약성을 신속하게 해결하는 데 도움이 됩니다.
이 공격과 APT 그룹의 알려진 전술에 대한 취약성을 평가하는 경우 할 수 있는 몇 가지 사항은 다음과 같습니다.
- 위험 기반 액세스 관리 및 향상된 특권 액세스 보안(PAS)으로 전환합니다.
- PAM에 PAS 레이어를 추가합니다(PAM) 다양한 공급업체의 사례를 참조하세요.
- 정기적으로 취약성 평가를 실시하고, 타사 소프트웨어의 취약성을 항상 신속하게 패치하고 요구 사항을 수정합니다.
- 제로 트러스트 아키텍처를 구현하고 MFA.
- 특권 ID를 둘러싼 위협과 이상 징후를 지속적으로 모니터링합니다. 즉, SOC 또는 MDR이 특권 ID에 대한 민감도 수준을 높이고, 신속히 인수를 차단할 수 있는 모든 데이터와 제어 기능을 갖추고 있는지 확인합니다.
이 사건은 공급망의 취약성으로 인해 발생하는 위험과 사전 예방적 사이버보안 조치의 필요성을 일깨워 주는 중요한 사건입니다. 데모 요청 이와 같은 사고를 예방하고 신원 보안을 강화하는 방법을 알아보세요.