[데이터넷] 중국 해킹 그룹 UNC3886이 EDR 탐지를 우회하기 위해 방화벽과 가상화 기술 관련 제로데이 취약점을 이용해 미국과 아시아 태평양, 일본 지역의 국방, 기술, 통신 관련 기업을 공격한 것으로 드러났다.

맨디언트는 이들이 지난해 발견된 VM웨어 ESXi 제로데이 취약점(CVE-2023-20867)을 이용해 EDR을 우회하면서 공격을 진행했다고 설명했다. 이들은 하이퍼바이저 자격증명을 미리 입수한 후, 취약점을 이용해 게스트 VM 명령을 실행했다. 하이퍼바이저에 가상머신 통신 인터페이스(VMCI) 백도어를 구축한 후 네트워크 연결 또는 VLAN 구성에 관계없이 VMCI 백도어가 실행되는 모든 게스트 시스템에서 직접 백도어를 설치하고 다른 게스트 VM에게 파일을 전송하거나 받을 수 있게 하면서 공격을 확장해갔다.

UNC3886가 이용한 취약점은 ESXi 호스트, v센터 서버와 윈도우 가상머신에 영향을 미친 것이다. 공격자는 v포스트그레SQL 서버에서 연결된 ESXi 호스트 서비스 계정의 자격증명을 수집하고, 윈도우, 리눅스, 포톤OS 게스트 VM 인증 없이 ESXi 호스트에 접근, VMCI를 이용해 백도어를 배포하면서 이동했다.

이들은 ESXi 호스트가 v센터 서버에 연결될 때 자동으로 생성되는 특권계정 vpxuser을 수집했다. vpxuser는 v센터 서버 v포스트그레SQL 데이터베이스에 암호화 저장되며 30일마다 자동 변경된다. 이 자격증명을 수집할 수 있는 취약점이 지난해 3월 공개됐고 이후 패치됐지만, 공격자는 이전에 획득한 v센터 서버 루트 액세스를 이용해 vpxuser의 암호화된 자격증명을 복호화했다.

공격자는 특정 서비스에 대한 허용된 IP 주소 목록을 v센터 서버에 연결된 모든 ESXi 호스트에 업데이트하고, 여러 개의 ESXi 호스트 방화벽을 한번에 빠르게 변경, 지속적으로 백도어를 배포하면서 공격을 이어갔다.

CVE-2023-20867 취약점 이용 공격이 성공하면 로깅 이벤트가 생성되지 않아 침해당한 시스템에서는 침해 사실을 알기 어렵다.

맨디언트는 보고서에서는 “UNC3886은 EDR 솔루션이 부족한 장치와 플랫폼과 제로데이 취약점을 이용해 공격하며, 로깅 서비스를 비활성화해 조사를 방해하는 등 주의깊게 활동한다. 이러한 공격에 피해당하지 않으려면 네트워크 운영체제 계층 모니터링뿐만 아니라 기본 인프라를 실행하는 장치들을 패치, 유지 및 모니터링하는 것을 보장해야 한다”고 설명했다.

찰스 카마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 “UNC3886은 오늘날 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나다. 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다. UNC3886은 자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다. 또한, 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 피해자 시스템으로 멀웨어 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다. 이처럼 이들은 성숙한 보안 프로그램을 구축해 국방, 기술 및 통신 조직에 성공적으로 침투했다”고 말했다.

김선애 기자 다른기사 보기