마이크로소프트는 2023년 9월 14일 이란의 한 사이버 스파이 단체가 미국과 전 세계의 수천 개 조직을 대상으로 비밀번호 스프레이(password spraying) 공격을 감행했다고 자체 블로그를 통해 밝혔다. 대표적으로 APT33, 혹은 Peach Sandstorm, HOLMIUM, Refined Kitten이라는 다양한 이름으로 활동하는 이 전문 스파이 그룹은 2013년부터 활동하며 미국, 사우디아라비아, 대한민국의 다양한 산업 분야 기관을 포함해 전 세계의 수천 개 기관을 공격해 왔다. 이 그룹이 2023년 2월부터 7월 사이에 사용한 대표적인 익스플로잇은 비밀번호 스프레이 공격으로, 단일 패스워드 또는 일반적으로 사용되는 패스워드 목록을 사용해 다수의 계정에 로그인을 시도하는 공격 방법이다. 

APT33은 비밀번호 스프레이 공격으로 국방, 위성, 제약 분야의 조직의 계정을 해킹 및 도용해 민감한 정보를 성공적으로 탈취했다.  

비밀번호 스프레이 공격 집단의 또 다른 피해자, 노출된 컨플루언스

APT33 해커 그룹은 비밀번호 스프레이 공격 외에도 패치 되지 않은 채 노출된 컨플루언스(Confluence)를 대상으로 한 공격도 실행하여 네트워크를 침해했다고 한다. 

컨플루언스(Confluence)는 아틀라시안(Atlassian)이 개발한 협업 플랫폼으로, 팀과 조직 내에서 실시간으로 작업 및 변경 사항을 추적할 수 있는 문서 작업 관리 툴이다. 컨플루언스는 다양한 플러그인과 통합 기능을 제공하여 사용자들의 요구에 맞게 확장할 수 있다. 이를 통해 개인적인 작업 스타일에 맞게 컨플루언스를 사용할 수 있으며, 다른 도구와의 연동도 가능하다. 하지만 이러한 장점들은 해커가 한 번 침투하면 다양한 정보를 탈취할 수 있어, 컨플루언스는 해커들의 좋은 공격 타겟으로 꼽힌다.  2022년 전 세계 사이버 보안 업계가 발칵 뒤집힐 정도로 큰 이슈였던 컨플루언스 제로데이 취약점 이후, 지금은 얼마나 많은 컨플루언스 어플리케이션이 외부에 노출되어 있는지 알아보고자 한다.

Criminal IP에 탐지된 노출된 컨플루언스의 IP 주소. 443 포트에 컨플루언스 로그인 페이지가 노출되어 있다
Criminal IP에 탐지된 노출된 컨플루언스의 IP 주소. 443 포트에 컨플루언스 로그인 페이지가 노출되어 있다

인터넷에 노출된 컨플루언스 6,600개 이상 발견

다음은 Criminal IP Asset Search에 특정 기술이 적용된 장치를 찾는 tech_stack 필터를 사용해 아틀라시안 컨플루언스를 검색한 결과다. 외부에 노출된 아틀라시안 컨플루언스가 적용된 장치가 6,600개 이상 발견되었다. 

이 노출된 컨플루언스 서버들이 모두 공격에 취약한 건 아니지만, 인증 우회나 RCE 등의 취약점에 함께 노출되어 있다면 매우 위험한 상태일 것이다. 컨플루언스는 기업/기관의 중요 정보가 한 군데 모아져 있어 한 번의 공격으로도 매우 큰 피해를 입을 수 있고, 새로운 버그와 취약점은 언제든 발견될 수 있기 때문에 애초에 컨플루언스를 사용하는 기업이나 기관은 내부 컨플루언스에 대한 외부 접근을 완벽히 차단해 두어야 한다. 

Search Query: tech_stack: “Atlassian Confluence”

Criminal IP Asset Search에 tech_stack 필터를 사용해 아틀라시안 컨플루언스 장치를 찾은 결과
Criminal IP Asset Search에 tech_stack 필터를 사용해 아틀라시안 컨플루언스 장치를 찾은 결과

Criminal IP의 Element Analysis 기능에서 위와 동일한 tech_stack: “Atlassian Confluence” 쿼리를 사용하여 인터넷에 노출된 컨플루언스를 사용 중인 국가 통계를 볼 수 있다.

총 74개 국가가 노출된 컨플루언스를 사용 중인 것으로 확인된다. 그 중 미국이 1,993개로 가장 많이 나타났으며, 독일이 1,495개, 중국이 453개로 그 뒤를 이었다.

Criminal IP에 탐지된 노출된 컨플루언스를 사용 중인 국가 통계
Criminal IP에 탐지된 노출된 컨플루언스를 사용 중인 국가 통계

이번 해킹 사건의 주범인 APT33 그룹은 보편적으로 널리 쓰이는 컨플루언스를  네트워크에 접근하기 위한 경로 중 하나로 악용했다. 이는 소프트웨어와 시스템의 보안 패치를 최신 상태로 유지하는 것과 외부에 노출된 장치를 점검하는 것이 얼마나 중요한 지를 한 번 더 상기시켜준다.

아틀라시안 공식 웹사이트나 보안 관련 뉴스를 통해 최신 정보를 확인하는 것이 중요하다. 또한, Criminal IP 같은 CTI 검색엔진을 통해 사용 중인 장치 및 어플리케이션의 노출 여부와 취약점을 모니터링하면 공격을 사전에 예방할 수 있다.

관련하여 2022년 발생한 컨플루언스 제로데이 취약점에 대한 글을 참고할 수 있다.

이 리포트는 사이버위협인텔리전스 검색엔진 Criminal IP의 데이터를 바탕으로 작성되었습니다. 지금 바로 Criminal IP 무료 계정을 생성하면 리포트에 인용된 검색 결과를 직접 확인하거나, 더 방대한 위협 인텔리전스를 자유롭게 검색할 수 있습니다. 

데이터 출처 : Criminal IP (https://www.criminalip.io/ko)

관련 글 :

Atlassian Confluence 제로데이 취약점(CVE-2022-26134)에 노출된 서버들