러시아 공격자들, 사이클롭스 블링크라는 봇넷 구성하기 위해 워치가드 장비 악용

요약 : IT 외신 블리핑컴퓨터에 의하면 미국의 사이버 보안 전문 기관인 CISA가 대국민 경고를 다시 한 번 발표했다고 한다. 러시아의 해킹 부대가 워치가드 파이어박스(WatchGuard Firebox)와 XTM이라는 방화벽 장비에서 발견된 취약점을 적극적으로 익스플로잇 하고 있다는 내용이다. 문제의 취약점은 CVE-2022-23176이라고 하며, 권한을 상승시키는 특성을 가지고 있다. 공격자들은 이를 이용해 각종 워치가드 장비들을 사이클롭스블링크(Cyclops Blink)라는 봇넷에 편입시키고 있다고 CISA는 경고했다.


배경 : 이 캠페인에 연루된 러시아 공격자들은 샌드웜(Sandworm)인 것으로 알려져 있다. 샌드웜은 러시아의 첩보 기관인 GRU에 소속돼 있으며, 블랙에너지(Black Energy), 부두베어(Voodoo Bear) 등으로도 불린다. 주로 산업 통제 시스템을 노리는 것으로 악명이 높다.

말말말 : “현재 사이클롭스 블링크 봇넷은 무력화 된 상태입니다. 본격적으로 공격에 활용되기 전에 폐쇄시키는 데 성공했으며, 워치가드 장비들의 주인들에게도 사이클롭스 블링크 봇넷 멀웨어에 대해서도 알리는 중입니다.” -CISA-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>