요약 : 보안 외신 시큐리티위크에 의하면 건설사나 건축업자들 사이에서 널리 사용되는 회계 소프트웨어를 노리는 사이버 공격이 증가하고 있다고 한다. 보안 업체 헌트레스(Huntress)에서 알린 것으로, 문제의 소프트웨어는 파운데이션어카운팅소프트웨어(Foundation Accounting Software)다. 9월 14일부터 이 소프트웨어를 겨냥한 무작위 대입 공격이 증가했다고 하며, 특히 디폴트 크리덴셜을 활용해 계정에 침투하려는 시도가 줄을 잇는 중이고, 건축 과정에 투입되는 배관, 공기조화기술, 콘크리트 업체 등 하청업자들이 이미 다수 피해를 입은 상황이다.


배경 : 원래 이런 종류의 소프트웨어들은 데이터베이스 서버를 방화벽이나 VPN 안쪽에 두어 내부에서만 접속이 가능하게 하는 게 보통이다. 하지만 파운데이션어카운팅소프트웨어의 경우 특수한 연결 기능과 모바일 앱 호환 기능을 가지고 있다. 그래서 TCP 포트 4243번이 공공 인터넷과 연결이 되어 있으며, 이것이 원격 접속 시도의 근본적인 이유가 된다.

말말말 : “서버에 접속하는 데 성공한 공격자들은 높은 권한을 가진 두 번째 계정을 별도로 만든 후, 이를 가지고 여러 악성 행위를 실시합니다. 셸 명령이나 스크립트를 실행할 수도 있게 되고, 시스템 명령 프롬프트에서 직접 뭔가를 할 수도 있게 됩니다.” -헌트레스-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>