러시아의 해킹 단체, 유럽 외교 조직 공격하는 과정에서 윈도 기능 공략

요약 : 보안 외신 해커뉴스에 의하면 러시아의 APT 단체로 알려진 APT29가 잘 알려지지 않은 윈도 기능 중 하나인 크리덴셜로밍(Credential Roaming)을 활용해 유럽의 외교 단체들을 공략하는 중이라고 한다. 크리덴셜로밍은 윈도 서버 2003 서비스 팩 1에서부터 도입된 기능으로, 사용자들이 다른 윈도 기반 컴퓨터를 통해 자신들의 비밀 키나 인증서에 안전하게 접근할 수 있도록 해 준다. 공격자들은 여기서 발견된 취약점인 CVE-2022-30170을 익스플로잇 함으로써 피해자의 권한을 가지고 여러 시스템에 로그인 할 수 있게 된다.


배경 : APT29는 코지베어(Cozy Bear), 아이언헴록(Iron Hemlock), 듀크스(The Dukes) 등으로 불리는 러시아 APT 조직이며, 항상 유럽의 외교 단체들을 노려왔다. 러시아의 해외 첩보 담당 기관인 SVR이 운영하는 것으로 알려져 있다.

말말말 : “APT29는 항상 유럽의 외교 소식들에 민감하게 반응하고, 그렇나 정보를 빠르게 수집해 왔습니다. 이번 공격도 별반 다르지 않아 보입니다.” -맨디언트(Mandiant)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>