Russian Threat Actor, AI 도움으로 55개국 600개 FortiGate 장치 해킹

무슨 일이 있었나

Amazon의 보고서에 따르면, 이 위협 그룹은 FortiGate 취약점을 직접 악용하지 않았습니다. 대신, 인터넷에 노출된 관리 포트와 단일 인증을 사용하는 약한 자격 증명을 exploited했고, 이러한 기본적인 보안 허점을 AI가 미숙한 공격자가 대규모로 악용하도록 도왔습니다.

Amazon의 Chief Information Security Officer(CISO)인 CJ Moses는 “이 캠페인은 FortiGate 취약점 악용이 관찰되지 않았습니다. 대신, 인터넷에 노출된 관리 포트와 약한 자격 증명을 가진 단일 인증 기반의 보안 허점을 AI가 비숙련 공격자가 대규모로 악용하도록 도왔습니다”라고 밝혔습니다.

AI가 위협 그룹의 역량 강화

이 위협 그룹은 기술적 능력이 제한적인 것으로 평가되지만, 다양한 상업용 생성형 AI 도구를 사용하여 공격 주기의 여러 단계(도구 개발, 공격 계획, 명령 생성 등)를 구현했습니다. 하나의 AI 도구가 주요 기반으로 사용되었으며, 두 번째 AI 도구는 특정 침해 네트워크 내 피벗을 지원하기 위한 대안으로 활용되었습니다. 사용된 AI 도구의 이름은 공개되지 않았습니다.

이 위협 그룹은 재무적 이익을 추구하는 것으로 판단되며, 국가 지원 recursos를 가진 Advanced Persistent Threat(APT)와 관련이 없습니다.

“그들은 AI 증강을 통해 이전에 훨씬 더 크고 숙련된 팀이 필요했을 운영 규모를 달성한 재무적으로 동기가 부여된 개인 또는 소규모 그룹일 가능성이 있습니다” — CJ Moses, Amazon CISO

피해 규모와 공격 방법

Amazon의 조사 결과, 이 위협 그룹은 여러 조직의 Active Directory 환경을 침해하여 전체 자격 증명 데이터베이스를 추출했고, 랜섬웨어 배치를 위한 준비 단계로 백업 인프라도 대상으로 삼았습니다.

공격은 FortiGate 관리 인터페이스를 인터넷에 공개된 포트 443, 8443, 10443, 4443에서 체계적으로 스캔하는 것으로 시작되었습니다. 그 다음 일반적으로 재사용되는 자격 증명을 사용하여 인증을 시도했으며, 이러한 활동은 자동화된 대규모 취약 장치 스캔을 나타냅니다. 스캔은 IP 주소 212.11.64.250에서 시작되었습니다.

침해된 클러스터는 South Asia, Latin America, Caribbean, West Africa, Northern Europe, Southeast Asia에서 감지되었습니다.

방어 권장 사항

Fortinet 어플라이언스가 위협 그룹의 매력적인 대상이 되고 있으므로, 조직은 다음 사항을 확인해야 합니다:

• 관리 인터페이스가 인터넷에 노출되지 않도록 하기
• 기본 및 일반적인 자격 증명 변경
• SSL-VPN 사용자 자격 증명 순환
• 관리 및 VPN 액세스를 위한 다중 인증(MFA) 구현
• 백업 서버를 일반 네트워크 접근에서 격리