보안, 네트워킹, 가상화 기술에 집중...피해자 네트워크에 은밀한 접속 등 이점 활용
로그 및 보안 제어 우회 등 공격 대상 맞춤형 멀웨어 사용도 두드러져
맨디언트, ‘스탤스 모드-탐지 회피 역량을 높여가는 중국 사이버 스파이 행위자들’ 보고서 발표
[보안뉴스 김영명 기자] 최근 2년간 중국 사이버 공격이 제로데이 취약점 공격에 집중됐다는 연구결과가 나왔다. 게다가 중국발 사이버 공격자들이 지난 1년간 미국 정부의 민감한 아웃룩 이메일에 접근을 시도했다는 것도 드러났다.
▲중국 사이버 스파이들의 탐지 회피 전술[자료=맨디언트]
맨디언트 인텔리전스(Mandiant Intelligence)는 중국의 사이버 스파이 행위자들의 탐지 회피 기법을 면밀히 조사하고 있다고 밝혔다. 이들은 초기 접근과 침입 성공 후 어떤 전략을 활용해 탐지를 회피하는지 분석하는 과정에서 중국 사이버 스파이 행위자들이 동원하는 방식에 주목했다. 중국의 위협 그룹들은 보안, 네트워킹 및 가상화 소프트웨어의 제로데이 취약점을 악용해 라우터 등의 장치를 통해 피해자 네트워크 내외에서 공격자의 트래픽을 중계하고 위장한다. 맨디언트는 중국의 사이버 스파이 그룹이 이런 기술을 활용해 탐지를 회피하고, 공격 흔적을 찾기 어렵게 만든다고 확신하고 있다.
맨디언트의 보고서에 따르면, 2021~2022년 중국의 사이버 스파이 활동은 보안, 네트워킹 및 가상화 기술에 주목했다. 그 이유는 이런 장치들을 목표로 삼으면 피해자 네트워크에 은밀하게 액세스하고 지속성을 유지하는 데 있어 전략적인 이점이 있기 때문이다. 최근 수행된 UNC3886과 바라쿠다 ESG 익스플로잇을 악용한 UNC4841 등 두 캠페인의 경우, 제로데이 익스플로잇을 활용해 은밀성을 극대화하는 중국의 공격 행위자들의 탐지 회피 방법을 잘 보여주고 있다.
먼저, UNC3886은 어려운 표적을 노린 복잡한 작전에서 2개의 제로데이 취약점을 악용했다. UNC3886은 주로 미국과 아시아의 방위 산업, 기술 및 통신 조직을 겨냥, 피해자 환경에서 탐지 회피를 위해 특별한 전략을 사용했다. 위협 행위자는 THINCRUST, CASTLETAP, TABLEFLIP, REPTILE 같은 포티넷 장치와 상호작용하도록 설계한 맬웨어 제품군을 활용했다. 또한, UNC3886은 경로 탐색 취약점인 CVE-2022-41328을 악용해 일반적으로 제한된 시스템 디렉토리의 합법적인 파일을 덮어씌웠다.
공격자는 침해 대상 조직의 포티넷 장치에 접근해 VM웨어 vCenter 서버와 상호작용을 하고, 악성 vSpherer 설치 번들(VIB)을 이용해 ESXi 하이퍼바이저 맞춤형 백도어인 VIRTUALPITA와 VIRTUALPIE를 설치했다. UNC3886은 ESXi 호스트 인증 우회 취약점인 CVE-2023-20867을 악용해 게스트 VM에서 추가 로그를 생성하지 않고도 권한 있는 명령을 실행할 수 있게 했다.
맨디언트는 ESXi 및 VM웨어 인프라 제품군을 활용하는 조직에게 이 포스팅 내용을 숙지하는 것을 권장했다. 이를 통해 조직은 ESXi 호스트의 공격 표면을 줄일 수 있는 방안을 알아볼 수 있으며, 추가 가이드 문서를 통해 UNC3886의 작업 탐지, 격리 그리고 보안 강화 방안도 이해할 수 있다.
두 번째로, ‘바라쿠다 ESG 익스플로잇을 악용한 UNC4841’가 있다. 2022년 10월 이후 중국의 사이버 스파이 활동가로 의심되는 UNC4841은 전 세계 공공 및 민간 조직을 대상으로 진행한 캠페인에서 바라쿠다 이메일 보안 게이트웨이(ESG) 어플라이언스의 제로데이 취약점인 CVE-2023-2868을 악용했다. 공격자는 중국의 정치적 또는 전략적 관심사에 대한 정보를 주로 찾았으며, 원하는 정보를 손에 넣기 위해 공격자는 중국이 중점을 두고 육성하는 산업 관련 전 세계 주요 정부 및 조직을 침해 대상으로 삼았다. 데이터를 빼내기 위해 주요 표적으로 삼은 피해 조직에서 아세안 회원국 외교부(MFA)의 이메일 도메인과 사용자, 대만과 홍콩의 대외 무역 사무소 및 학술 연구 기관의 개인을 표적으로 한 스크립트가 발견되기도 했다.
바라쿠다 취약점을 이용한 공격이 이루어지고 관련 대응으로 초기 치료 조치가 취해진 후 UNC4841은 맬웨어를 수정하고, 지속해서 액세스할 수 있는 방법을 도입하는 등 발 빠르게 움직였다. 현재 바라쿠다는 이미 감염된 어플라이언스를 교체할 것을 권장하고 있다. 맨디언트 역시 올 초 바라쿠다 ESG 어플라이언스에 대한 보호, 치료 그리고 위협 헌팅 방법에 대한 가이드를 발표하기도 했다.
▲SEASPRAY 공격 경로[자료=맨디언트]
맨디언트는 포티넷의 포티OS SSL-VPN 취약점인 CVE-2022-42475에 대한 익스플로잇을 분석했으며, 지난해 10월에 초기 증거를 발견했다. 지난해 12월에 시트릭스(Citrix)는 ADC 장치의 CVE-2022-27518 익스플로잇을 발견했다고 보고했으며, 미국 국가안보국(NSA)은 이를 APT5의 활동으로 지목했다.
지난해 3월 소포스(Sophos)는 자사 방화벽 장치에서 CVE-2022-1040 익스플로잇이 악용됐다는 사실을 보고했으며, 이 익스플로잇은 중국의 사이버 스파이 행위자들과 연결돼 있었다. 맨디언트는 2020년 8월부터 2021년 3월까지 발생한 여러 침투 사례를 조사했는데, 모두 펄스 시큐어(Pulse Secure) VPN 장치의 CVE-2021-22893 취약점을 악용했다. 2021년 3월 맨디언트는 소닉월(SonicWall)의 이메일 보안 솔루션인 ES 장치에서 발견한 세 가지 제로데이 취약점(CVE-2021-20021, CVE-2021-20022, CVE-2021-20023)을 확인했다.
중국발 공격은 봇넷과 터널을 이용해 외부 및 내부 트래픽을 위장해 왔다. 맨디언트는 지난 3년 동안 피해 환경과 C&C 인프라 간의 외부 트래픽을 위장하고, 공격자의 트래픽을 피해 조직의 내부 네트워크에서 은밀하게 전달하는 기능을 갖춘 손상된 IoT 장치, 스마트 장치, 라우터로 구성된 봇넷을 이용하는 중국 사이버 스파이 활동 사례를 여럿 발견했다. 공격자들은 이런 전략을 통해 탐지를 회피하고, 보안 분석가가 공격자의 속성을 파악하는 것을 어렵게 만들고 있는 것으로 보인다.
맨디언트는 APT41, APT31, APT15, TEMP.Hex, Volt Typhoon 등의 중국의 사이버 스파이 그룹들이 봇넷을 활용해 공격자와 피해자 네트워크 간의 트래픽을 난독화하는 사례를 여럿 확인했다.
마이크로소프트는 올해 5월 미국의 핵심 인프라를 대상으로 한 중국의 사이버 스파이 활동인 ‘Volt Typhoon’을 보고했다. 위협 주체는 네트워크 트래픽을 라우팅하기 위해 손상된 SOHO(Small Office Home Office) 장치로 구성된 봇넷과 다른 기술을 이용해 탐지를 회피했다. 맨디언트는 이 활동이 정부와 교통 기관을 표적으로 삼아 Zoho ADSelfService Plus의 취약점을 악용해 활동하는 공격 그룹과 겹치는 것으로 보고 있다.
체크포인트(CheckPoint)는 ‘Camaro Dragon’이라고 불리는 중국 사이버 스파이 그룹이 유럽 외교 기관을 대상으로 맞춤형 백도어인 ‘Horse Shell’을 이용하는 활동을 보고했다. 이는 수정된 TP-Link 라우터 펌웨어에서 발견된 악성 임플란트다. 공격자는 이를 통해 SSH로 암호화된 SOCKS 프록시는 설정하고 파일을 전송했다.
2022년 PwC는 BPFDOOR 맬웨어에 대해 보고했다. 이는 손상된 대만의 라우터 네트워크에서 제어되는 가상 사설 서버(VPS)로부터 명령을 받는 것으로 보인다. 2021년과 2022년에 PwC는 중국의 사이버 스파이 그룹인 Red Vulture가 ‘RedRelay’라는 공유 프록시 네트워크를 이용하는 것을 관찰했다. Red Vulture는 APT15, APT25, Ke3chang에 해당한다.
프랑스와 미국 당국은 중국이 지원하는 공격자들이 SOHO 라우터와 같은 네트워크 장치를 악용해 C&C 인프라와 피해 네트워크 간에 트래픽을 라우팅하는 것을 강조하는 보고서를 발표하했다. 에셋(ESET)은 2021년 2월에 홍콩의 한 대학을 감염시키는 데 사용된 SideWalk라는 리눅스 백도어를 관찰했다. 이 백도어는 SparklingGoblin APT가 독점적으로 사용한 것으로 보인다.
▲NSA에서 발표한 네트워크 장치를 악용하는 중국 사이버 스파이 전술[자료=맨디언트]
한편, 맨디언트는 중국 사이버 스파이로 의심되는 운영자들이 DNS, HTTP, TCP/IP 하이재킹을 활용해 피해자 네트워크에서 트래픽을 중계하고 위장하도록 설계된 맞춤형 맬웨어 배포 증거도 찾았다. 맨디언트 연구원은 “지난 10년 동안 중국 연계 공격자가 사용한 많은 전술, 기술 및 절차가 새로운 것은 아니지만, 중국 정부와 관련된 이들의 공격은 다른 국가보다 더 많은 침투가 이뤄지고 제로데이 취약점을 이용하는 동시에 복잡성이 증가시킨다는 점에 주목해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
로그 및 보안 제어 우회 등 공격 대상 맞춤형 멀웨어 사용도 두드러져
맨디언트, ‘스탤스 모드-탐지 회피 역량을 높여가는 중국 사이버 스파이 행위자들’ 보고서 발표
[보안뉴스 김영명 기자] 최근 2년간 중국 사이버 공격이 제로데이 취약점 공격에 집중됐다는 연구결과가 나왔다. 게다가 중국발 사이버 공격자들이 지난 1년간 미국 정부의 민감한 아웃룩 이메일에 접근을 시도했다는 것도 드러났다.
▲중국 사이버 스파이들의 탐지 회피 전술[자료=맨디언트]
맨디언트 인텔리전스(Mandiant Intelligence)는 중국의 사이버 스파이 행위자들의 탐지 회피 기법을 면밀히 조사하고 있다고 밝혔다. 이들은 초기 접근과 침입 성공 후 어떤 전략을 활용해 탐지를 회피하는지 분석하는 과정에서 중국 사이버 스파이 행위자들이 동원하는 방식에 주목했다. 중국의 위협 그룹들은 보안, 네트워킹 및 가상화 소프트웨어의 제로데이 취약점을 악용해 라우터 등의 장치를 통해 피해자 네트워크 내외에서 공격자의 트래픽을 중계하고 위장한다. 맨디언트는 중국의 사이버 스파이 그룹이 이런 기술을 활용해 탐지를 회피하고, 공격 흔적을 찾기 어렵게 만든다고 확신하고 있다.
맨디언트의 보고서에 따르면, 2021~2022년 중국의 사이버 스파이 활동은 보안, 네트워킹 및 가상화 기술에 주목했다. 그 이유는 이런 장치들을 목표로 삼으면 피해자 네트워크에 은밀하게 액세스하고 지속성을 유지하는 데 있어 전략적인 이점이 있기 때문이다. 최근 수행된 UNC3886과 바라쿠다 ESG 익스플로잇을 악용한 UNC4841 등 두 캠페인의 경우, 제로데이 익스플로잇을 활용해 은밀성을 극대화하는 중국의 공격 행위자들의 탐지 회피 방법을 잘 보여주고 있다.
먼저, UNC3886은 어려운 표적을 노린 복잡한 작전에서 2개의 제로데이 취약점을 악용했다. UNC3886은 주로 미국과 아시아의 방위 산업, 기술 및 통신 조직을 겨냥, 피해자 환경에서 탐지 회피를 위해 특별한 전략을 사용했다. 위협 행위자는 THINCRUST, CASTLETAP, TABLEFLIP, REPTILE 같은 포티넷 장치와 상호작용하도록 설계한 맬웨어 제품군을 활용했다. 또한, UNC3886은 경로 탐색 취약점인 CVE-2022-41328을 악용해 일반적으로 제한된 시스템 디렉토리의 합법적인 파일을 덮어씌웠다.
공격자는 침해 대상 조직의 포티넷 장치에 접근해 VM웨어 vCenter 서버와 상호작용을 하고, 악성 vSpherer 설치 번들(VIB)을 이용해 ESXi 하이퍼바이저 맞춤형 백도어인 VIRTUALPITA와 VIRTUALPIE를 설치했다. UNC3886은 ESXi 호스트 인증 우회 취약점인 CVE-2023-20867을 악용해 게스트 VM에서 추가 로그를 생성하지 않고도 권한 있는 명령을 실행할 수 있게 했다.
맨디언트는 ESXi 및 VM웨어 인프라 제품군을 활용하는 조직에게 이 포스팅 내용을 숙지하는 것을 권장했다. 이를 통해 조직은 ESXi 호스트의 공격 표면을 줄일 수 있는 방안을 알아볼 수 있으며, 추가 가이드 문서를 통해 UNC3886의 작업 탐지, 격리 그리고 보안 강화 방안도 이해할 수 있다.
두 번째로, ‘바라쿠다 ESG 익스플로잇을 악용한 UNC4841’가 있다. 2022년 10월 이후 중국의 사이버 스파이 활동가로 의심되는 UNC4841은 전 세계 공공 및 민간 조직을 대상으로 진행한 캠페인에서 바라쿠다 이메일 보안 게이트웨이(ESG) 어플라이언스의 제로데이 취약점인 CVE-2023-2868을 악용했다. 공격자는 중국의 정치적 또는 전략적 관심사에 대한 정보를 주로 찾았으며, 원하는 정보를 손에 넣기 위해 공격자는 중국이 중점을 두고 육성하는 산업 관련 전 세계 주요 정부 및 조직을 침해 대상으로 삼았다. 데이터를 빼내기 위해 주요 표적으로 삼은 피해 조직에서 아세안 회원국 외교부(MFA)의 이메일 도메인과 사용자, 대만과 홍콩의 대외 무역 사무소 및 학술 연구 기관의 개인을 표적으로 한 스크립트가 발견되기도 했다.
바라쿠다 취약점을 이용한 공격이 이루어지고 관련 대응으로 초기 치료 조치가 취해진 후 UNC4841은 맬웨어를 수정하고, 지속해서 액세스할 수 있는 방법을 도입하는 등 발 빠르게 움직였다. 현재 바라쿠다는 이미 감염된 어플라이언스를 교체할 것을 권장하고 있다. 맨디언트 역시 올 초 바라쿠다 ESG 어플라이언스에 대한 보호, 치료 그리고 위협 헌팅 방법에 대한 가이드를 발표하기도 했다.
▲SEASPRAY 공격 경로[자료=맨디언트]
맨디언트는 포티넷의 포티OS SSL-VPN 취약점인 CVE-2022-42475에 대한 익스플로잇을 분석했으며, 지난해 10월에 초기 증거를 발견했다. 지난해 12월에 시트릭스(Citrix)는 ADC 장치의 CVE-2022-27518 익스플로잇을 발견했다고 보고했으며, 미국 국가안보국(NSA)은 이를 APT5의 활동으로 지목했다.
지난해 3월 소포스(Sophos)는 자사 방화벽 장치에서 CVE-2022-1040 익스플로잇이 악용됐다는 사실을 보고했으며, 이 익스플로잇은 중국의 사이버 스파이 행위자들과 연결돼 있었다. 맨디언트는 2020년 8월부터 2021년 3월까지 발생한 여러 침투 사례를 조사했는데, 모두 펄스 시큐어(Pulse Secure) VPN 장치의 CVE-2021-22893 취약점을 악용했다. 2021년 3월 맨디언트는 소닉월(SonicWall)의 이메일 보안 솔루션인 ES 장치에서 발견한 세 가지 제로데이 취약점(CVE-2021-20021, CVE-2021-20022, CVE-2021-20023)을 확인했다.
중국발 공격은 봇넷과 터널을 이용해 외부 및 내부 트래픽을 위장해 왔다. 맨디언트는 지난 3년 동안 피해 환경과 C&C 인프라 간의 외부 트래픽을 위장하고, 공격자의 트래픽을 피해 조직의 내부 네트워크에서 은밀하게 전달하는 기능을 갖춘 손상된 IoT 장치, 스마트 장치, 라우터로 구성된 봇넷을 이용하는 중국 사이버 스파이 활동 사례를 여럿 발견했다. 공격자들은 이런 전략을 통해 탐지를 회피하고, 보안 분석가가 공격자의 속성을 파악하는 것을 어렵게 만들고 있는 것으로 보인다.
맨디언트는 APT41, APT31, APT15, TEMP.Hex, Volt Typhoon 등의 중국의 사이버 스파이 그룹들이 봇넷을 활용해 공격자와 피해자 네트워크 간의 트래픽을 난독화하는 사례를 여럿 확인했다.
마이크로소프트는 올해 5월 미국의 핵심 인프라를 대상으로 한 중국의 사이버 스파이 활동인 ‘Volt Typhoon’을 보고했다. 위협 주체는 네트워크 트래픽을 라우팅하기 위해 손상된 SOHO(Small Office Home Office) 장치로 구성된 봇넷과 다른 기술을 이용해 탐지를 회피했다. 맨디언트는 이 활동이 정부와 교통 기관을 표적으로 삼아 Zoho ADSelfService Plus의 취약점을 악용해 활동하는 공격 그룹과 겹치는 것으로 보고 있다.
체크포인트(CheckPoint)는 ‘Camaro Dragon’이라고 불리는 중국 사이버 스파이 그룹이 유럽 외교 기관을 대상으로 맞춤형 백도어인 ‘Horse Shell’을 이용하는 활동을 보고했다. 이는 수정된 TP-Link 라우터 펌웨어에서 발견된 악성 임플란트다. 공격자는 이를 통해 SSH로 암호화된 SOCKS 프록시는 설정하고 파일을 전송했다.
2022년 PwC는 BPFDOOR 맬웨어에 대해 보고했다. 이는 손상된 대만의 라우터 네트워크에서 제어되는 가상 사설 서버(VPS)로부터 명령을 받는 것으로 보인다. 2021년과 2022년에 PwC는 중국의 사이버 스파이 그룹인 Red Vulture가 ‘RedRelay’라는 공유 프록시 네트워크를 이용하는 것을 관찰했다. Red Vulture는 APT15, APT25, Ke3chang에 해당한다.
프랑스와 미국 당국은 중국이 지원하는 공격자들이 SOHO 라우터와 같은 네트워크 장치를 악용해 C&C 인프라와 피해 네트워크 간에 트래픽을 라우팅하는 것을 강조하는 보고서를 발표하했다. 에셋(ESET)은 2021년 2월에 홍콩의 한 대학을 감염시키는 데 사용된 SideWalk라는 리눅스 백도어를 관찰했다. 이 백도어는 SparklingGoblin APT가 독점적으로 사용한 것으로 보인다.
▲NSA에서 발표한 네트워크 장치를 악용하는 중국 사이버 스파이 전술[자료=맨디언트]
한편, 맨디언트는 중국 사이버 스파이로 의심되는 운영자들이 DNS, HTTP, TCP/IP 하이재킹을 활용해 피해자 네트워크에서 트래픽을 중계하고 위장하도록 설계된 맞춤형 맬웨어 배포 증거도 찾았다. 맨디언트 연구원은 “지난 10년 동안 중국 연계 공격자가 사용한 많은 전술, 기술 및 절차가 새로운 것은 아니지만, 중국 정부와 관련된 이들의 공격은 다른 국가보다 더 많은 침투가 이뤄지고 제로데이 취약점을 이용하는 동시에 복잡성이 증가시킨다는 점에 주목해야 한다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
