중국 해커, Fortinet 제로데이 악용해 VPN 자격 증명 수집

Volexity의 사이버 보안 연구원들은 최근 중국 국가 관련 위협 행위자가 Fortinet의 Windows VPN 클라이언트인 FortiClient의 패치되지 않은 제로데이 취약점을 악용하여 메모리에서 직접 민감한 VPN 자격 증명을 훔쳤다고 보고했습니다.

‘BrazenBamboo’로 알려진 의심되는 중국 국가 지원 위협 행위자는 자격 증명을 추출하고, 오디오를 기록하며, 다양한 앱에서 정보를 수집할 수 있는 Windows 운영 체제를 위한 모듈형 후속 악성코드인 ‘DEEPDATA’를 개발한 것으로 추정됩니다.

Volexity는 BrazenBamboo가 LIGHTSPY 및 DEEPPOST와 같은 다른 악성코드 계열의 개발자로도 추적하고 있습니다. 그러나 이 회사는 여러 사용자가 있을 수 있으므로 이를 사용하는 운영자와 반드시 연결짓지는 않는다고 덧붙였습니다.

DEEPDATA 악성코드 계열 분석 중에 보안 연구원들은 악성코드의 특수 FortiClient 플러그인이 FortiClient VPN 클라이언트의 프로세스 메모리 내 JSON 객체에 저장된 사용자 이름, 비밀번호, 원격 게이트웨이 및 포트와 같은 민감한 자격 증명을 추출하여 취약점을 악용했다고 밝혔습니다.

사이버 보안 전문가들에 따르면, DEEPDATA 프레임워크는 “data.dll”이라는 핵심 동적 링크 라이브러리(DLL) 구성 요소에 의존하며, 이는 플러그인 실행을 위한 오케스트레이터인 “frame.dll”을 통해 최대 12개의 고유 플러그인을 복호화하고 실행하도록 설계되었습니다.

이 플러그인 중 하나는 FortiClient VPN 프로세스의 프로세스 메모리에서 자격 증명 및 서버 정보를 추출할 수 있는 새로 식별된 “FortiClient” DLL입니다.

“Volexity는 FortiClient 플러그인이 msenvico.dll이라는 파일 이름을 가진 라이브러리를 통해 포함되었다고 발견했습니다. 이 플러그인은 Fortinet VPN 클라이언트의 제로데이 취약점을 악용하여 클라이언트 프로세스의 메모리에서 사용자의 자격 증명을 추출할 수 있음을 발견했습니다.”라고 보안 연구원인 Callum Roxan, Charlie Gardner, Paul Rascagneres가 금요일 기술 블로그 게시물에서 작성했습니다.

이 플러그인에 적용된 기술은 2016년에 발견된 유사한 취약성과 유사하며, 이 취약점에서는 하드코딩된 오프셋을 기반으로 메모리에서 자격 증명을 발견할 수 있었습니다.

그러나 Volexity는 2024년 취약점이 새롭고 결함 발견 당시 최신 버전이었던 FortiClient 버전 7.4.0에 존재한다고 확인했습니다.

사이버 보안 회사는 자격 증명 노출 취약점을 2024년 7월 18일 Fortinet에 보고했으며, 2024년 7월 24일에 이를 인정받았습니다. 그러나 이 문제는 현재까지 패치되지 않았으며 CVE도 할당되지 않았습니다.

“Volexity의 분석은 BrazenBamboo가 운영 지속성을 가진 다중 플랫폼 기능을 유지하는 자원이 풍부한 위협 행위자라는 증거를 제공합니다. 그들의 능력의 폭과 성숙도는 유능한 개발 기능과 개발 출력을 주도하는 운영 요구 사항을 나타냅니다.”라고 사이버 보안 회사는 언급합니다.

DEEPDATA 외에도 BrazenBamboo는 HTTPS를 사용하여 원격 시스템에 파일을 전송하기 위한 후속 데이터 유출 도구인 DEEPPOST도 개발했습니다.

DEEPDATA와 DEEPPOST, 그리고 iOS 및 Windows를 포함한 여러 운영 체제를 대상으로 하는 다중 플랫폼 악성코드 계열인 LIGHTSPY는 위협 행위자의 고급 및 강력한 사이버 스파이 능력과 패치되지 않은 시스템 및 민감한 사용자 데이터에 대한 위험을 보여줍니다.

Fortinet이 보고된 취약점을 공식적으로 인정하고 보안 패치를 배포할 때까지 VPN 접근을 제한하고 로그인 활동에서 비정상적인 점을 모니터링하는 것이 권장됩니다.

Fortinet 솔루션에 의존하는 조직은 이 결함이 악용될 경우 민감한 자격 증명을 노출할 수 있으므로 경계를 유지할 것을 권장합니다.