최신 보안 동향

Kaseya VSA 제품에서 사이버 공격 발견

알 수 없는 사용자 2021. 7. 8. 16:45

지난 72일경, Kaseya VSA 제품의 On-Premise 고객이 사이버 공격의 표적이 되었으며 Kaseya 측은 조사가 완료될 때까지 사용중인 VSA 서버를 즉시 종료할 것을 권고했다.

 

또한, Kaseya는 공격 당시 전 세계적으로 약 40명 미만의 피해 고객이 발생했다고 발표했으며 해당 기업의 제품을 이용하는 나머지 고객들이 피해를 입지 않도록 하기 위해 SaaS 서버를 일시적으로 종료하는 조치를 취했다고 밝혔다.

 

현재 CISA, FBI와 협력하여 이번 공격에 대해 조사중에 있다고 알렸으며 공격의 배후로 "Sodinokibi(REvil)" 랜섬웨어 그룹을 지목했다.

 

현재까지 지속적으로 피해 사례가 증가하고 있고, 추가적으로 Keseya VSA 보안 업데이트로 위장한 "Cobalt Strike" 공격이 발견됐다.

 

[CISA에서 발표한 Keseya VSA 관련 공지]

 

출처

[1] Kaseya Notice (2021.07.08)
https://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689-Important-Notice-July-2nd-2021

[2] Threat Post (2021.07.08) Fake Kaseya VSA Security Update Drops Cobalt Strike

https://threatpost.com/fake-kaseya-vsa-update-cobalt-strike/167587

[3] CISA (2021.07.08) - Kaseya VSA Supply-Chain Ransomware Attack

https://us-cert.cisa.gov/ncas/current-activity/2021/07/02/kaseya-vsa-supply-chain-ransomware-attack