대규모 시트릭스 넷스케일러 스캔 캠페인, 주거용 프록시를 악용

대규모 시트릭스 넷스케일러 스캔 캠페인 탐지

보안 연구진들이 지난 주 동안 시트릭스 넷스케일러(Citrix NetScaler) 인프라를 대상으로 한 대규모 정찰 캠페인을 발견했다. 이 캠페인은 **수만 개의 주거용 프록시(residential proxies)**를 활용하여 노출된 로그인 패널을 탐지하고 있으며, 이는 향후 더 공격적인 공격의 전조로 추정된다.

기술적 세부 사항

이 캠페인은 고도로 조직화되어 있으며, **주거용 IP 주소(residential IP addresses)**로 구성된 분산 네트워크를 이용해 탐지 회피와 기존 보안 조치 우회를 시도하고 있다. 합법적인 가정 인터넷 연결을 통해 트래픽을 라우팅하는 주거용 프록시는 IP 평판 기반으로 악성 활동을 차단하는 것을 훨씬 어렵게 만든다.

현재 캠페인 배후의 정확한 위협 행위자는 밝혀지지 않았지만, 그 규모와 정교함은 공격 전 정찰 단계임을 시사한다. 과거에도 유사한 전술이 사용되었으며, 초기 스캔 이후 취약점 악용(예: CVE-2023-3519, 시트릭스 넷스케일러 ADC 및 게이트웨이의 원격 코드 실행 취약점)으로 이어진 사례가 있었다.

영향 분석

이번 캠페인에서 주거용 프록시를 사용한 것은 위협 행위자들이 출처를 은폐하고 귀속을 복잡하게 만들려는 최근 트렌드를 반영한다. 시트릭스 넷스케일러 ADC 또는 게이트웨이를 운영하는 조직은 노출된 로그인 패널이 다음과 같은 공격의 진입점으로 활용될 수 있으므로 각별한 주의가 필요하다:

• 자격 증명 스터핑 공격(credential stuffing attacks)
• 미패치 취약점 악용
• 네트워크 내 횡적 이동(lateral movement)

방어 권고 사항

보안 팀은 다음 조치를 취하여 위험을 완화할 것을 권장한다:

1. 넷스케일러 배포 감사

   • 로그인 패널이 불필요하게 인터넷에 노출되지 않도록 확인한다.
   • 가능한 경우 관리자 접근에 **IP 화이트리스트(IP whitelisting)**를 적용한다.

2. 모니터링 강화

   • 비정상적인 로그인 시도나 스캔 활동을 식별하기 위한 **이상 탐지(anomaly detection)**를 배포한다.
   • 주거용 IP 범위에서 발생하는 연결을 모니터링하여 프록시 기반 공격을 탐지한다.

3. 패치 즉시 적용

   • 모든 시트릭스 넷스케일러 시스템을 최신 펌웨어로 업데이트하여 알려진 취약점(예: CVE-2023-3519)을 해결한다.

4. 인증 강화

   • 모든 관리자 접근에 **다중 인증(MFA, multi-factor authentication)**을 적용한다.
   • 고권한 계정의 자격 증명을 정기적으로 교체한다.

5. 네트워크 세분화 검토

   • 침해 시 영향을 최소화하기 위해 중요 인프라를 격리한다.

결론

이번 캠페인은 시트릭스 넷스케일러에 의존하는 조직이 선제적 위협 탐지와 다층 방어 전략의 중요성을 재확인시켜 준다. 위협 행위자들이 전술을 지속적으로 발전시키는 만큼, 보안 팀은 가시성 확보, 패치 관리, 접근 통제를 우선시해야 한다.

지속적인 업데이트는 위협 인텔리전스 소스 및 시트릭스 보안 권고문을 참고하라.