[데일리시큐]아키라 랜섬웨어, 소닉월 SSL VPN 침투…OTP MFA까지 뚫렸다

내용 요약

아키라 랜섬웨어가 소닉월(SonicWall) SSL VPN 장비를 타깃으로 공격을 시도하며, OTP 기반 MFA가 활성화된 계정에서도 정상 로그인을 성공하고 있다. 보안업체 아틱울프는 공격자가 OTP 시드를 탈취·재사용하거나 다른 방식으로 인증을 우회했다는 정황을 밝혀냈다.

핵심 포인트

• SonicWall SSL VPN이 공격 대상이 되는 주요 경로
• OTP 기반 MFA가 여전히 취약, 시드 재사용과 우회 기법이 존재
• 액세스 제어와 OTP 저장소 보안 강화가 시급

기술 세부 내용

1️⃣ SonicWall SSL VPN

• 설치 환경: 사무실 내부망과 외부 사용자 사이에 TLS‑베이스 터널을 구성
• 공격 벡터:
  1️⃣ 구버전 펌웨어에 존재하는 RCE(원격 코드 실행) 취약점
  2️⃣ 인증 우회: 공격자가 사전 확보한 사용자 세션 쿠키를 재사용
  3️⃣ DDoS/Brute‑Force를 통해 관리 콘솔 접근 시도
• 보안 대책:
  • 펌웨어 최신 버전 적용
  • HTTPS 관리 접속 제한 (IP 화이트리스트)
  • 2FA(OTP)와 IP 제한을 병행

2️⃣ OTP 기반 MFA 우회 기법

• OTP 시드 탈취:
  • Credential Stealing: 피해자 디바이스에서 OTP 앱 데이터(예: Google Authenticator DB) 복사
  • Man‑in‑the‑Middle: TLS 탈취 시 OTP 요청을 가로채서 시드 확보
• 시드 재사용:
  • 공격자가 과거 탈취한 시드를 동일 계정에 재활용 → 유효 기간 내에 인증 성공
• 우회 수단:
  1️⃣ 브루트‑포스: 짧은 OTP(6자리) 재시도
  2️⃣ OTP 재생: 시드와 타임스탬프를 조작해 같은 OTP를 재생성
  3️⃣ 다중 인증 회피: MFA가 활성화된 계정이라도, 공격자가 사전에 인증 정보를 확보하면 정상 로그인 가능
• 보안 대책:
  • OTP 시드 암호화 저장(예: TPM, HSM)
  • OTP 재사용 방지(한 번 사용한 OTP는 무효화)
  • 시드 수명 주기 관리(short‑lived seed)
  • 사용자 교육: 물리적 장치 보안, 피싱 인식 강화

참고: Akira 랜섬웨어는 위 두 기술을 결합해 조직 내부망을 신속히 침투, 데이터를 암호화한 뒤 금전을 요구한다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=200995