구글의 Threat Analysis Group (TAG)에서 국가 정부 기관이 공격받은 다수의 사건을 공개했다.
TAG 측은 그리스와 튀니지 등 5개의 국가 정부 기관이 공격받은 사건을 소개하며, 공격자가 모든 사건에서 사용한 제로데이 취약점을 언급했다. 이 취약점은 CVE-2023-37580으로 알려졌으며, 이메일 솔루션 업체인 Zimbra의 프로그램에서 링크 내의 매개 변수를 제대로 처리하지 못해 발생하는 XSS 취약점이라고 설명했다.
해당 취약점을 사용한 첫 번째 공격은 6월 경 그리스 정부 기관에서 발생했다. 이때 공격자는 취약점을 악용한 링크를 메일 본문에 작성해 관계자에게 전송하는 방식으로 피해 기관에 침투했고 이메일과 첨부 파일 등의 데이터를 탈취했다.
며칠 후인 7월 초에 이 사건이 알려지면서 Zimbra 측은 오픈 소스 저장소인 Github를 이용해 긴급 패치를 공개하고 고객에게 수동으로 적용할 것을 권고했다. 하지만 정식으로 취약점을 수정한 버전이 제공되기도 전에 해당 취약점을 악용한 공격이 잇달아 발생했다. 추가로 발생한 사건에 대해 TAG 측은 7월 중순에 튀니지와 몰도바의 정부 기관을 공격한 사건이 Winter Vivern 측의 소행이라고 추정했다. 또한, 베트남 정부 기관에서 유사한 공격이 발생해 사용자의 웹 메일 자격 증명 정보가 유출된 사건은 또 다른 공격자가 배후에 있다고 언급했다.
긴급 패치를 공개하고 추가로 세 차례의 공격 후에 Zimbra 측은 취약점을 수정한 릴리스 버전을 공개하면서 즉시 업데이트할 것을 권고했다. 하지만 릴리스 버전이 공개된 후에도 파키스탄의 정부 기관이 공격받은 사건이 있었으며 TAG 측은 이전 사건들과 동일한 취약점이 공격에 사용됐다고 덧붙였다.
CVE-2023-37580 취약점을 이용한 일련의 사건에 대해 TAG 측은 공격자가 오픈 소스 저장소를 모니터링하며 수정되지 않은 취약점을 악용한 사례라고 언급했고 즉시 업데이트할 것을 권고했다.
사진 출처 : Threat Analysis Group
출처
[1] Threat Analysis Group (2023.11.16) – Zimbra 0-day used to target international government organizations
'최신 보안 동향' 카테고리의 다른 글
우크라이나 업체를 공격하는 Solntsepek 해커 그룹 (0) | 2024.01.19 |
---|---|
CISA와 FBI의 AndroxGh0st 악성코드 주의 권고 (20) | 2024.01.19 |
KeePass 사이트를 사칭하는 Google Ads 캠페인 발견 (0) | 2023.10.20 |
미국 적십자를 사칭하는 AtlasCross 백도어 악성코드 (0) | 2023.10.04 |
빠른 속도로 전파 중인 P2PInfect 악성코드 (0) | 2023.09.22 |