업데이트: Arctic Wolf는 CVE-2026-1731 PoC 공개 이후 BeyondTrust Remote Support를 타겟으로 하는 위협 캠페인을 관찰합니다

요약

Arctic Wolf는 BeyondTrust 원격 지원 및 특권 원격 액세스 배포를 대상으로 CVE-2026-1731의 개념 증명을 악용하는 야생의 위협 캠페인을 보고합니다. 이 결함은 영향을 받는 시스템에서 인증되지 않은 OS 명령 삽입을 가능하게 합니다. 지금까지 관찰된 활동은 PoC 릴리스 이후 노출된 원격 지원 인프라의 기회적 악용에 중점을 둔 것으로 보입니다.

조사

조사 결과, Arctic Wolf는 CVE-2026-1731에 취약한 자체 호스팅 BeyondTrust 원격 지원 인스턴스에 대한 악용 시도와 관련된 의심스러운 행동과 PoC 스타일의 악용과 일치하는 네트워크 패턴 및 명령 실행 원격 측정치를 발견했습니다. 보고서에서는 추가로 드롭된 멀웨어나 후속 페이로드 아티팩트와 관련된 추가 정보를 공개하지 않았습니다.

완화

CVE-2026-1731에 대한 공급업체 패치를 즉시 적용하고 BeyondTrust 원격 지원 서비스에 대한 네트워크 액세스를 신뢰할 수 있는 관리자 네트워크로 제한하여 노출을 줄이십시오. 특히 인터넷을 마주하는 장치 및 관리 인터페이스에서 예상치 못한 명령 실행 및 비정상적인 원격 세션 동작 모니터링을 강화하십시오.

대응

악용이 의심되는 경우, 영향을 받은 호스트를 격리하고, 패치 수준을 확인하며, OS 명령 실행의 증거에 대한 포렌식 범위를 수행하십시오. 잠재적으로 노출된 자격 증명을 변경하고, 원격 액세스 로그를 검토하여 무단 세션, 수상한 운영자 동작 및 비정상적인 관리자 활동을 찾아보십시오.