요약 : 보안 외신 블리핑컴퓨터에 의하면 중국의 해커들이 딥데이터(DeepData)라는 해킹 도구를 커스터마이징 해서 제로데이 취약점 익스플로잇 공격을 실행하고 있다고 한다. 문제의 취약점은 포티클라이언트윈도VPN(FortiClient Windows VPN)에서 발견된 것으로 아직 CVE 번호가 부여되지 않았다. 올해 여름에 발견되고 포티넷 측에 제보됐으나 아직까지 패치가 되지 않고 있다. 공격자는 브레이즌뱀부(BrazenBamboo)라는 이름의 단체이며, 이들이 이 캠페인을 통해 노리는 건 VPN 크리덴셜인 것으로 분석됐다.


배경 : 브레이즌뱀부는 딥데이터 외에도 라이트스파이(LightSpy)라는 스파이웨어와 딥포스트(DeepPost)라는 데이터 탈취형 멀웨어도 사용하고 있다. VPN 크리덴셜을 탈취한 뒤에는 기업 네트워크에 침투해 횡적으로 움직여 더 많은 피해를 입히는데, 보통은 기업의 중요한 기밀을 훔치는 것이 1순위 목표다.

말말말 : “문제의 근원은, 포티클라이언트가 메모리에서 민감한 정보를 말끔하게 지워내지 않는다는 것입니다. 사용자 이름, 비밀번호, VPN 게이트웨이, 포트 등의 정보가 남아있게 되고, 공격자들이 노리는 게 바로 이런 겁니다.” -볼렉시티(Volexity)-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>