맨디언트, 포티넷 취약점 악용한 해커 그룹 관련 보고서 발표
상태바
맨디언트, 포티넷 취약점 악용한 해커 그룹 관련 보고서 발표
  • 곽중희 기자
  • 승인 2023.03.20 10:58
  • 댓글 0
이 기사를 공유합니다

맨디언트가 3월 초 포티넷(Fortinet)의 제로데이 취약점(CVE-2022-41328)을 악용한 중국 공격 그룹 UNC3886에 대한 새로운 보고서를 발표했다. 

이들은 네트워크 보안 장치를 통해 침입을 수행하는 패턴을 지속하며 정부와 국방 기관에 위협으로 인식됐다.

또한 맨디언트는 UNC3886 그룹이 새로운 ESXi 하이퍼바이저 멀웨어 프레임워크에 관련돼 있다고 추정했다. 하지만 해당 그룹이 중국의 목표를 지지하기 위해 연계 활동을 수행한다고 의심하고 있지만 아직 공식적으로 배후로 특정하지는 않았다.

맨디언트는 포티넷과 긴밀하게 협력해 진행한 연구에서 UNC3886가 여러 포티넷 솔루션에 두 개의 새로운 멀웨어 캐슬탭(CASTLETAP)과 씬크러스트(THINCRUST)를 배포하는 것을 확인했다. 

공격자는 공개적으로 포티매니저(FortiManager) 장치에 접근한 후, 제로데이 취약점을 악용해 손상된 장치에 파일을 기록하고 나아가 네트워크로 우회했다.

맨디언트의 연구원들은 이러한 전술이 중국 위협 행위자가 시스템을 방어할 수 있는 툴의 부재로 라우터나 기업 네트워크 내에 있는 인터넷 연결 장치에서 악의적 활동을 탐지할 좋은 방법이 없다는 것을 깨달으면서 자주 사용하는 패턴이라고 설명했다.

결과적으로, 정교한 중국 스파이 공격자들은 발각되지 않고 훨씬 더 오랜 시간 동안 시스템 상에 머물며 대상을 정찰할 수 있었다.

이와 관련해 맨디언트 컨설팅 최고 기술책임자(CTO) 찰스 카마칼(Charles Carmakal)과 구글 클라우드 맨디언트 사이버 스파이 활동 분석 총괄 벤 리드 (Ben Read)의 성명을 발표했다.

찰스 카마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고 기술책임자(CTO)는 “중국 해커의 최근 공격 대상은 방위 산업 기지(DIB), 정부, 통신, 기술 산업 등을 포함한다. 이들의 탐지 회피 능력 수준을 고려할 때, 대부분은 스스로 공격자를 식별할 수 없다. 때문에 중국 공격자의 캠페인이 다년간의 침해로 이어지는 것은 드문 일이 아니다. 맨디언트는 이 정보와 함께 제공되는 강화 단계를 통해 더 많은 대상이 이러한 장기간 지속되는 침해 사례를 더 빨리 발견할 수 있기를 바란다”라고 말했다.
 
벤 리드(Ben Read) 구글 클라우드 맨디언트 사이버 스파이 활동 분석 총괄은 “이번 보고서는 맨디언트가 지난 2년 동안 인터넷에 노출된 네트워크 장치 및 기타 시스템을 겨냥한 중국 공격자와 관련해 발표한 다섯 번째 연구 보고서다. 맨디언트는 스파이 그룹이 보다 어려운 목표물에 접근하려고 시도하는 기술로 이 장치들을 타겟팅 하는 것을 계속 활용할 것이라고 예상한다. 이러한 장치는 공격자가 침입 타이밍을 제어할 수 있도록 인터넷에 접근할 수 있게 돕고 VPN 장치와 라우터의 경우, 많은 양의 정규 인바운드 연결이 침투를 더 쉽게 만들기 때문이다. 특히, 예전부터 지속적으로 중국 스파이의 표적이 된 산업 분야의 대상은 이러한 장치를 강화하고 의심스러운 활동을 감시하기 위한 조치를 취해야 한다”라고 강조했다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.