AI 요약
최근 Ivanti Endpoint Manager Mobile(EPMM)을 대상으로 한 새로운 형태의 사이버 공격 캠페인이 포착되었습니다. 공격자들은 기존의 즉각적인 정보 탈취 방식에서 벗어나, 특정 경로(/mifs/403.jsp)에 메모리 내 Java 클래스 로더를 심어두는 '슬리퍼 셸' 기법을 사용하고 있습니다. 이 백도어는 특정 트리거가 입력될 때까지 비활성 상태를 유지하며, 업로드 직후 어떠한 명령도 실행하지 않아 탐지를 피합니다. 전문가들은 이를 나중에 접근 권한을 판매하기 위한 초기 침투 브로커(IAB)의 정교한 전략으로 분석하고 있습니다.
핵심 인사이트
- 잠복형 공격 전략: 즉각적인 데이터 탈취 대신, 향후 공격을 위해 은밀하게 접근 권한을 확보하고 대기하는 방식을 취합니다.
- 탐지 회피 기법: 인메모리 Java 클래스 로더를 사용하며, 특정 매개변수가 있어야만 활성화되도록 설계되어 일반적인 보안 모니터링을 우회합니다.
- IAB의 개입 가능성: 공격 방식이 권한 확보 후 현장을 떠나는 형태를 띠고 있어, 침투 권한을 거래하는 브로커의 소행일 가능성이 높습니다.
주요 디테일
- 관련 취약점: CVE-2026-1281 및 CVE-2026-1340(인증 우회 및 원격 코드 실행)을 악용하여 무단 접근을 시도합니다.
- 공격 경로: 웹셸은 비교적 드물게 사용되는 경로인
/mifs/403.jsp에 배치되었습니다. - 공격 양상: 2026년 2월 초부터 시작된 이 캠페인은 이전의 무차별적인 대규모 공격과는 다른 신중하고 계획적인 패턴을 보입니다.
- 페이로드 특징: 페이로드 업로드 후 정상적으로 안착되었는지만 확인하고, 추가적인 정찰이나 명령 실행 없이 즉시 종료되었습니다.
- 패치 권고: Ivanti는 이미 해당 취약점에 대한 보안 권고와 패치 지침을 발표했으나, 패치되지 않은 시스템이 여전히 표적이 되고 있습니다.
출처:hackernews