[데이터넷] 중국 위협행위자들이 포티넷 제로데이 취약점(CVE-2022-41328)을 악용해 세계 여러 정부와 국방기관을 대상으로 캠페인을 벌여온 것으로 알려졌다. 이 취약점은 이달 초 패치가 완료됐으며, 포티넷 사용자는 반드시 패치를 적용해야 한다.
맨디언트와 포티넷은 지난해 취약점에 대해 인식한 후 공격자들이 이를 어떻게 악용하는지 분석했는데, 이들은 EDR을 우회하기 위해 VPN 취약점을 이용한 것으로 분석됐다.
이 공격 캠페인은 차이나 넥서스(China-Nexus)가 연관된 UNC3886 그룹의 소행으로 보이며, ESXi 하이퍼바이저 멀웨어 프레임워크와 관련있다고 추정했다. 이들은 중국을 지지하기 위해 활동하는 것으로 보이지만, 공식적으로 이번 공격의 배후로 특정하지는 않았다.
맨디언트와 포티넷의 조사 결과, UNC3886는 여러 포티넷 솔루션에 캐슬탭(CASTLETAP)과 씬크러스트(THINCRUST)를 멀웨어를 배포했다. 포티매니저에 접근한 후, 제로데이 취약점을 악용해 손상된 장치에 파일을 기록하고, 네트워크로 우회했습니다.
맨디언트는 이들이 EDR을 지원하지 않는 VPN 등의 기술을 지속적으로 악용하고 있다고 지적했다. 많은 네트워크 어플라이언스가 기본 OS에 대한 런타임 수정을 감지할 수 있는 솔루션이 부족하며, 포렌식 이미지를 수집하기 위해 제조업체의 직접적인 개입이 필요하다고 설명했다.
찰스 카마칼(Charles Carmakal) 맨디언트 컨설팅 최고 기술책임자(CTO)는 “중국 스파이 공격자의 최근 피해 조직은 방위 산업 기지(DIB), 정부, 통신, 기술 산업 등을 포함한다. 이들의 탐지 회피 능력 수준을 고려할 때, 대부분의 조직은 스스로 이러한 공격자를 식별할 수 없다. 때문에 중국 공격자의 캠페인이 다년간의 침해로 이어지는 것은 드문 일이 아니다. 이 정보와 함께 제공되는 강화 단계를 통해 더 많은 조직이 이러한 장기간 지속되는 침해 사례를 더 빨리 발견할 수 있기를 바란다”고 말했다.
