지난달 윈도에서 발견된 권한 상승 취약점 '제로로그온(Zerologon)'을 이란 정부 소속 해커가 악용 중이라고 마이크로소프트(MS)가 5일(현지시간) 밝혔다.
MS 위협 인텔리전스 센터(MSTIC)에 따르면 이같은 공격이 최소 2주간 지속적으로 나타났다.
제로로그온은 도메인 컨트롤러로 실행되는 윈도 서버에 대해 윈도 시스템이 인증할 때 사용하는 원격 프로토콜 '넷로그온' 인증을 우회하게 하는 취약점이다. 공격자는 이를 악용해 도메인 컨트롤러와 네트워크 통제 권한을 획득할 수 있다.
이번 공격의 배후로는 이란 해커 그룹 '머큐리(머디워터)'를 지목했다. 머큐리는 이란 이슬람혁명수비대 산하 그룹으로 추정되고 있다. 그 동안 비정부기구(NGO)와 정부 간 기구(IGO), 정부 인도지원, 인권단체 등을 표적으로 삼아왔다.
관련기사
- 이란 해커, '2단계 인증' 우회용 악성코드 썼다2020.09.21
- 해커, 'DoH' 악용해 데이터 훔쳤다2020.08.06
- "이란 해커, 미국 대선 관계자 이메일 해킹 시도"2019.10.07
- 페이스북, 美 분열 조장한 이란 계정 82개 삭제2018.10.29
MS에 따르면 머큐리의 최근 공격 대상은 난민 관련 대상과 중동 네트워크 기술자들이었다.
MS는 해킹 피해를 예방하기 위해 보안 패치를 설치하라고 당부했다. 회사는 지난 8월 정기 업데이트를 통해 제로로그온에 대한 보안 패치를 제공한 바 있다.
