최근 증가하고 있는 넷스케일 공격...랜섬웨어 공격 단체 배후에 있는 듯

요약 : 보안 외신 블리핑컴퓨터에 의하면 최근 진행되고 있는 시트릭스 넷스케일러(Citrix NetScaler) 공격의 배후에 랜섬웨어 조직이 있는 것으로 밝혀졌다고 한다. 8월 중순부터 발견된 이 대규모 캠페인을 통해 시트릭스 넷스케일러를 사용하는 기업과 기관들은 여러 단계를 거쳐 PHP 웹셸이 설치되는 일을 겪었다. 보안 업체 소포스(Sophos)가 계속 추적을 진행했을 때 랜섬웨어 조직이 이 모든 공격을 실시하고 있음을 알게 되었다고 한다. 소포스는 이 조직을 스택4663(STAC4663)이라고 부르며, 이 조직은 악명 높은 범죄 집단인 핀8(FIN8)과도 관련이 있는 것으로 보고 있다.


배경 : 스택4663이 익스플로잇 함으로써 드러난 넷스케일러의 제로데이 취약점은 CVE-2023-3519로, CVSS 기준 9.8점을 받은 초고위험도 코드 주입 취약점이다. 최근 클롭이라는 랜섬웨어 단체도 무브잇(MOVEit)과 같은 소프트웨어의 제로데이를 익스플로잇 함으로써 효과 높은 랜섬웨어 공격을 실시한 바 있다. 기업 내 사용되는 소프트웨어의 제로데이 취약점 발굴로 랜섬웨어 공격자들의 눈길이 옮겨가고 있다.

말말말 : “시트릭스는 이미 취약점 패치를 내놓은 상태입니다. 만약 아직 이 패치를 적용하지 않았다면 서둘러 적용하는 것을 권합니다.” -소포스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>