by Wizard

미국 정부 기관, 중국 해커 공격에 노출: Cisco Talos 경고

미국 내 여러 정부 기관이 중국 해커들의 표적이 되었다는 경고가 나왔습니다. Cisco Talos에 따르면, 해커들은 Trimble Cityworks 소프트웨어의 취약점을 악용하여 공격을 감행했습니다. 이 취약점은 올해 2월에 이미 수정되었지만, 공격자들은 이를 이용하여 웹 쉘 및 악성코드 로더를 배포하려 했습니다.

Cityworks 제로데이 취약점 악용한 공격

Cisco Talos는 UAT-6382로 식별되는 위협 행위자들이 Trimble Cityworks의 제로데이 취약점을 통해 미국 내 지방 정부 기관을 공격해 왔다고 밝혔습니다. Cityworks는 지방 정부와 유틸리티 기업이 인프라, 유지 보수 및 운영을 효율적으로 관리할 수 있도록 설계된 지리 정보 시스템(GIS) 자산 관리 및 허가 소프트웨어입니다.

CVE-2025-0994: 심각한 원격 코드 실행 취약점

올해 2월, Cityworks 소프트웨어에서 CVE-2025-0994로 식별되는 심각한 역직렬화 버그가 발견되었습니다. 심각도 점수가 8.6(높음)인 이 취약점을 통해 공격자는 원격 코드 실행(RCE)을 수행할 수 있었습니다. Cisco에 따르면, 공격자들은 이 제로데이를 이용하여 Rust 기반의 악성코드 로더를 설치하고, 이를 통해 Cobalt Strike 비콘과 VSHell 악성코드를 설치하여 장기간 지속적인 액세스를 확보했습니다.

공격자들의 목표: 유틸리티 관리 시스템

Cisco는 2025년 1월부터 미국 내 지방 정부 기관의 엔터프라이즈 네트워크에서 침입이 발견되었다고 밝혔습니다. 공격자들은 액세스 권한을 확보한 후 유틸리티 관리와 관련된 시스템으로 빠르게 이동하려는 경향을 보였습니다. 또한, AntSword, chinatso/Chopper 등 중국어로 작성된 다양한 웹 쉘을 설치하고, 중국어 간체로 작성된 맞춤형 로더인 TetraLoader를 배포했습니다.

신속한 패치 및 CISA의 경고

제로데이 취약점 소식이 알려지자마자, Trimble은 Cityworks를 15.8.9 및 23.10 버전으로 업데이트하는 패치를 배포하여 위험을 완화했습니다. 또한, 일부 온프레미스 배포에서 과도한 권한을 가진 IIS ID 권한이 발견되었으며, 일부 배포에는 잘못된 첨부 파일 디렉토리 구성이 있다는 사실을 경고했습니다. 당시 피해 사례는 보고되지 않았지만, 미국 사이버 보안 및 인프라 보안국(CISA)은 고객들에게 가능한 한 빨리 패치를 적용하도록 촉구하는 조정된 권고를 발표했습니다. 2월 초, CISA는 이 취약점을 KEV(Known Exploited Vulnerabilities) 목록에 추가하여 연방 민간 행정부 기관에 패치 마감일을 지정했습니다.