맨디언트, 주노스 OS 멀웨어 사건 범인으로 ‘UNC3886’ 지목
엣지 디바이스에서 라우터 등 내부 인프라로 공격범위 확대

[보안뉴스 조재호 기자] 주니퍼네트웍스에서 발생한 멀웨어 사고의 범인으로 중국 연계 해킹조직이 지목됐다. 맨디언트는 이들이 라우터를 악용한 맞춤형 악성코드를 배포했다고 전했다.


[자료: gettyimagesbank]

미국 사이버보안 기업이자 구글 자회사 맨디언트는 지난해 발생한 주니퍼네트웍스의 멀웨어 사고에 대한 조사 결과를 14일 발표했다.

회사는 지난해 주니퍼의 주노스 운영체제(Junos OS)에서 작동하는 맞춤형 백도어를 발견하고 중국 연계 해킹조직인 ‘UNC3886’을 지목했다. UNC3886은 정교한 공격 기술로 소프트웨어 취약점을 공격하는 ‘제로데이 익스플로잇(zero-day exploits)’을 통해 네트워크 장치와 가상화 기술을 표적으로 삼았다. 주로 미국과 아시아 지역의 국방·통신·기술 기업 등을 공격했다.

맨디언트는 주니퍼와 합동 조사를 진행해 해커들이 지원 종료된(EOL) 주니퍼 MX 라우트의 하드웨어나 소프트웨어를 통해 공격을 진행했다고 밝혔다. 이들은 지난 2022년과 2023년에도 맞춤형 멀웨어로 가상화 기술과 에지 디바이스를 공격한 바 있다.

조사 연구진은 “UNC3886이 사용한 맞춤형 멀웨어는 그들이 시스템 내부 구조에 대해 심층적인 지식을 가지고 있다는 점을 보여준다”고 지적했다.

맨디언트는 조사 과정에서 지원 종료된 다수의 주니퍼 MX 라우터에 설치된 6가지 변종 멀웨어를 발견했다. 각 멀웨어는 타이니셸(TinyShell) 백도어를 변형한 버전이다. 멀웨어는 보안 모니터링 시스템을 차단하는 임베디드 스크립트 등 다양한 맞춤형 기능이 포함됐다.

UNC3886은 새로운 공격 기법인 ‘프로세스 인젝션(Process Injection)’을 통해 합법적인 프로세스 메모리에 악성코드를 주입해 Veriexec을 우회했다. 이 기법은 위치 독립 코드(PIC) 버전의 lmpad 백도어를 실행하기 위한 목적으로 사용됐다. 다만, 다른 백도어 실행은 지원하지 않는 것으로 나타났다.

맨디언트는 “UNC3886은 과거 네트워크 에지 디바이스 공격에 집중했다”며 “이번 공격은 그들이 인터넷 서비스 제공업체(ISP) 라우터 등 내부 네트워킹 인프라로 공격 대상을 확대하고 있음을 시사한다”고 말했다.

이어 “이번 공격은 네트워크 디바이스의 업데이트 중요성을 일깨워주는 계기”라며 “네트워크 디바이스에 최신 보안 패치를 적용하고, 주니퍼의 고격사는 권고사항을 살펴보고 적용할 것을 권고한다”고 전했다.

[조재호 기자(sw@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>