중국 지원 APT UAT-8837, Sitecore 제로데이 취약점 이용해 美 핵심 인프라 공격
중국 연계 APT 그룹 UAT-8837이 Sitecore CMS 제로데이 취약점을 악용해 북미 핵심 인프라를 공격 중이다. 사이버 보안 전문가들이 대응 방안을 제시한다.
중국 연계 APT, Sitecore 제로데이 취약점으로 美 핵심 인프라 공격 목표
Cisco Talos의 보고서에 따르면, 중국과 연계된 고급 지속 위협(APT) 그룹 UAT-8837이 2025년 이후 북미의 핵심 인프라 부문을 지속적으로 공격해 온 것으로 확인되었다. 사이버 보안 업체인 Cisco Talos는 이 위협 그룹이 중국과의 연계성에 대해 중간 신뢰도로 평가했으며, 다른 알려진 중국 연계 APT 캠페인과의 전술적 유사성을 근거로 제시했다.
공격의 기술적 세부 사항
Cisco Talos의 보고서에는 구체적인 침해 지표(IOC) 및 악용된 Sitecore CMS 제로데이 취약점(CVE 미확정)의 세부 사항은 공개되지 않았지만, 다음과 같은 주요 내용이 강조되었다:
- 공격 대상 부문: 에너지, 유틸리티, 산업 시스템 등 핵심 인프라
- 초기 접근 벡터: 널리 사용되는 기업용 콘텐츠 관리 시스템(CMS)인 Sitecore CMS의 패치되지 않은 취약점 악용 가능성
- 전술적 유사성: 위협 행위자의 기법이 이전에 문서화된 중국 지원 APT 그룹의 기법과 유사하며, 횡적 이동(lateral movement), 지속성 유지 메커니즘, 데이터 유출 방법 등이 포함됨
영향 분석
북미 핵심 인프라를 대상으로 한 공격은 파괴적 공격 또는 스파이 활동의 가능성을 고려할 때 중대한 우려를 낳고 있다. Sitecore CMS는 기업 환경에서 널리 사용되고 있어, 대규모 조직을 침해하려는 위협 행위자에게 높은 가치를 지닌 표적이 되고 있다.
- 스파이 활동 동기: 이 캠페인은 산업 제어 시스템(ICS) 또는 운영 기술(OT) 네트워크에 대한 정보 수집을 목적으로 할 수 있음
- 파괴 위험: 아직 파괴적인 페이로드는 확인되지 않았지만, 확보된 접근 권한은 향후 사보타주 공격을 가능하게 할 수 있음
- 공급망 영향: Sitecore와 같은 널리 사용되는 CMS의 취약점을 악용하면 단일 취약점을 통해 여러 조직을 침해할 수 있는 위험이 존재함
보안 팀을 위한 권고 사항
Cisco Talos는 아직 전체 IOC 또는 탐지 규칙을 공개하지 않았지만, Sitecore CMS를 사용하는 조직은 다음과 같은 조치를 취해야 한다:
- 즉시 패치 적용: Sitecore의 보안 권고문을 모니터링하여 제로데이 취약점을 해결하는 업데이트를 적용
- 모니터링 강화: 엔드포인트 탐지 및 대응(EDR) 및 **네트워크 트래픽 분석(NTA)**을 배포해 비정상적인 행동을 탐지
- 중요 네트워크 분리: OT/ICS 환경을 기업 IT 네트워크와 분리하여 횡적 이동을 제한
- 접근 제어 검토: 최소 권한 접근 및 **다중 인증(MFA)**을 CMS 관리자에게 적용
- 위협 탐지 활동: 비인가 접근, 비정상적인 아웃바운드 트래픽, 자격 증명 오용 징후를 조사
Cisco Talos는 UAT-8837을 계속 추적하며, 조사 진행에 따라 추가 세부 정보를 공개할 예정이다. 핵심 인프라 부문의 조직은 적극적인 위협 탐지를 우선시해야 한다.
원문 출처: The Hacker News