머큐리 혹은 머디워터라고 알려진 해킹 그룹...제로로그온 취약점 공격해
제로로그온, 지난 8월에 패치 나온 후 여러 차례 적용 관련 권고문 나오기도

[보안뉴스 문가용 기자] 마이크로소프트가 여러 개의 게시글과 트윗을 올리며 이란 해커들의 공격에 대해 경고하기 시작했다. 공격자는 머디워터(MuddyWater) 혹은 머큐리(Mercury)라고 불리는 단체이며, 이들이 노리는 건 제로로그온(Zerologon)이라는 취약점이라고 한다.


제로로그온은 CVE-2020-1472에 붙은 이름으로, 넷로그온(Netlogon)에서 발견된 권한 상승 취약점이다. 넷로그온은 윈도 클라이언트 오센티케이션 아키텍처(Windows Client Authentication Architecture)에서 활용되는 일종의 인증 메커니즘(Authentication Mechanism)으로, 로그온 요청을 확인, 등록, 인증하는 데에 활용된다. 도메인 제어기들의 위치를 확인하는 데에도 넷로그온이 활용된다.

제로로그온을 익스플로잇 하는 데 성공할 경우 공격자는 네트워크 내 연결된 어떤 장비로라도 위장할 수 있게 된다. 도메인 제어기인 것처럼 위장하는 것도 가능하다. 그런 후 그 장비에서 처리된 것처럼 원격 프로시처 호출(remote procedure call)을 실행할 수도 있게 된다. 결과적으로 넷로그온 인증 프로세스에 내재된 보안 기능을 비활성화시키는 것과 도메인 제어기의 비밀번호를 변경하는 것이 가능하게 된다.

제로로그온 공격의 전제 조건은 딱 하나, 공격자가 표적이 되는 네트워크에 이미 접속할 수 있어야 한다는 것이다. 따라서 미국의 연방 정부 기관은 8월 정기 패치를 통해 발표된 제로로그온 업데이트를 적용하라고 거듭 권고했었다. 특히 국토안보부 내 사이버 안보 담당 부서인 CISA에서 “정부 기관들은 9월 21일까지 제로로그온 패치를 마치라”고 지시를 내리기도 했었다.

그런 상황에서 오늘 마이크로소프트가 “제로로그온을 익스플로잇 하려는 시도가 9월 13일부터 증가하기 시작했다”고 발표했다. “그 중 한 공격자는 셰어포인트에서 발견된 CVE-2019-0604를 같이 익스플로잇 해서 웹셸을 심는 행동 패턴을 보였습니다. 그리고 이를 통해 공격 지속성을 확보하고 코드를 실행하기도 했습니다.”

MS는 흥미를 가지고 이 공격자를 추적했다. 그랬더니 웹셸 설치 이후 코발트 스트라이크(Cobalt Strike)를 기반으로 만들어진 페이로드를 배포하는 것을 발견할 수 있었다. 이 공격자들은 이 페이로드를 가지고 네트워크의 외곽선을 탐구하기 시작했고, 제로로그온 익스플로잇이 가능한 도메인 제어기들을 발견했다.

MS는 이 공격자가 이란의 해커인 머큐리인 것으로 결론을 내렸다. 머디워터라고도 불리는 머큐리는 2017년 후반기에 처음 발견된 단체로 주로 중동의 조직들을 공격하는 것으로 분석됐다. 그 후 지금까지 사우디아라비아, 이라크, 이스라엘, UAE, 그루지아, 인도, 파키스탄, 터키, 미국에서 피해자(피해 단체)가 발견되곤 했다. 머큐리는 계속해서 새로운 공격 기술과 도구들을 더하며 스스로를 업그레이드하기도 했다.

마이크로소프트는 제로로그온 익스플로잇에 관한 추가 지표 정보를 공개하기도 했다. 또한 현재까지 발견된 익스플로잇 코드들도 공유했다. 거의 대부분 널리 공개된 개념증명용 코드의 변종들이었다. 위에서 언급된 머디워터의 공격은 개념증명 익스플로잇이 처음 공개되고서 1주일이 지난 시점부터 증가했다고 한다.

마이크로소프트는 이란의 해커들이 얼마 남지 않은 미국 대선을 노린 해킹 공격을 진행 중에 있다고 주장하기도 했었다. 하지만 이란 정부는 “둘 중 누가 미국 대통령이 되든 전혀 관심이 없다”고 반박했다.

3줄 요약
1. 이란의 해커들, 8월에 패치된 제로로그온 취약점 공략하기 시작.
2. 제로로그온 익스플로잇 해서 보안 기능 상실시키고 권한 상승시킬 수 있음.
3. 선거 노린 공략? 의혹 거둬지지 않는 가운데 이란 측은 “선거에 무관심”이라고 반박.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>