요약 : 보안 외신 블리핑컴퓨터에 의하면 포그(Fog) 랜섬웨어 조직들이 소닉월VPN(SonicWall VPN) 계정들을 침해하기 시작했다고 한다. 특히 이 VPN에서 발견된 CVE-2024-40766 취약점이 적극 익스플로잇 되고 있다고 한다. 이는 접근 제어와 관련된 취약점으로 익스플로잇에 성공할 경우 VPN에 아무나 접근할 수 있게 된다. 소닉월 측은 지난 8월에 이미 패치를 배포했으나 아직 사용자들 측에서 패치 적용이 완료되지 않았다. 포그 외에 아키라(Akira)라는 랜섬웨어 조직들도 같은 취약점을 익스플로잇 한다는 경고가 나오고 있다.


배경 : 흥미로운 건 포그와 아키라의 공격 인프라가 일부 겹친다는 것이다. 해당 취약점에 대한 익스플로잇 행위가 똑같이 증가하고, 공격 인프라마저 일부 겹치고 있기 때문에 둘 사이에 모종의 협력 관계가 형성되어 있다고 보는 게 타당하다. 다만 이 관계성에 대해서는 아직 공식적으로 조사되거나 확인된 바는 없다. 보안 업체 소포스(Sophos)가 두 조직 간 관계를 의심한 바는 있다.

말말말 : “VPN에 접근한 랜섬웨어 공격자들은 민감한 정보를 빼돌린 후 암호화 합니다. 이 과정에서 공격자들은 대단히 빠르게 움직이는 것으로 확인됐습니다.” -아크틱울프(Arctic Wolf)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>