EDR 에이전트 없는 어플라이언스 대상 백도어 공격↑
“정교한 공격 기법 활용한 중대한 위협”

[보안뉴스 조재호 기자] 구글 클라우드 맨디언트 컨설팅은 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 ‘브릭스톰’(BRICKSTORM) 백도어를 설치하는 공격에 대응하고 있다고 26일 밝혔다.



‘브릭스톰’은 UNC5221 및 중국 연계 위협 행위자들의 소행으로 추정되며, 고급 포렌식 회피 및 멀웨어 변경 기법을 사용해 평균 393일 동안 탐지되지 않은 상태로 시스템에 잠복하고 있던 것이 특징으로 꼽힌다. 이러한 장기간 잠복 공격은 피해자 시스템에 접속을 유지하면서 가치가 높은 지적 재산이나 민감 데이터를 목표로 한다.

이번 공격 배후로 추정된 UNC5221은 과거 ‘실크 타이푼’(Silk Typoon)으로 보고된 위협 행위자와 동일한 것으로 간주됐지만, 구글 위협 인텔리전스 그룹(GTIG)는 현재 두 그룹을 각각 독립된 단체로 보고 있다.

브릭스톰은 △핵심 인프라 겨냥 △지정학적 스파이 활동 △지적 재산권 탈취 △새로운 장치 플랫폼을 활용한 회피 기법 △맞춤형 드로퍼 난독화 기법 △액세스 장기간 유지 등의 특징을 갖는다.

찰스 카르미날 구글 클라우드 맨디언트 컨설팅 CTO는 “브릭스톰 백도어를 사용한 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고부가가치 표적을 노리는 특성을 보여 중대한 위협으로 간주된다”며 “UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나, 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다”고 경고했다.

이어 “EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극적으로 탐지하는 것을 권장한다”고 밝혔다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>