구글 클라우드의 맨디언트(Mandiant)가 지난해 글로벌 네트워크 솔루션 전문 기업인 주니퍼네트웍스(Juniper Networks)에서 발생한 멀웨어(malware) 사고에 대한 조사 결과를 발표했다.
2024년 중순경 맨디언트는 위협 행위자가 주니퍼네트웍스의 주노스 운영체제(Junos OS)에서 작동하는 맞춤형 백도어(backdoor)를 배포한 것을 발견하고, 중국 연계 사이버 스파이 그룹인 UNC3886의 소행으로 지목했다. UNC3886은 정교한 공격 기술을 구사하며 소프트웨어의 취약점을 공격하는 ‘제로데이 익스플로잇(zero-day exploits)’을 통해 네트워크 장치와 가상화 기술을 표적으로 삼아왔다. 이는 주로 미국과 아시아 지역의 국방, 기술 및 통신 기업을 집중 공격하고 있다.
지난 수개월 동안 맨디언트와 주니퍼네트웍스가 합동 조사한 결과, UNC3886는 지원 종료된(EOL) 주니퍼 MX 라우터의 하드웨어와 소프트웨어를 통해 공격을 자행한 사실이 확인됐다. 조사 연구진은 UNC3886이 사용한 맞춤형 멀웨어 샘플은 그들이 고급 시스템 내부 구조에 대해 심층적인 지식을 가지고 있음을 보여준다고 지적했다. 맨디언트는 2022년과 2023년에도 UNC3886이 가상화 기술과 네트워크 에지 디바이스에 배포한 맞춤형 멀웨어 환경에 대해 보고한 바 있다.
주요 조사 결과는 다음과 같다.
· 맞춤형 멀웨어 환경을 통해 공격하는 UNC3886: 맨디언트는 지원 종료된 다수의 주니퍼 MX 라우터에 설치된 6가지 변종 멀웨어를 발견했다. 각 멀웨어는 TINYSHELL 백도어를 변형한 버전으로, 라우터에 접근해 오랜 기간 탐지를 피할 수 있도록 제작됐다. 이러한 멀웨어에는 능동적 백도어와 수동적 백도어뿐만 아니라, 표적 장비의 로깅 메커니즘(logging mechanism)을 비활성화해 보안 모니터링 시스템을 효과적으로 차단하는 임베디드 스크립트 등 다양한 맞춤형 기능이 포함돼 있었다.
· 주노스 운영체제의 보안 메커니즘 ‘Veriexec’: 주노스 운영체제 특성상 멀웨어를 실행하기 위해서는 먼저 위협 행위자가 Veriexec 보호를 우회해야 한다. 맨디언트는 Veriexec이 지원되는 하드웨어와 소프트웨어에서 UNC3886의 우회 기법이 성공했다는 증거를 발견하지 못했다. 그러나 지원 종료된 주니퍼 MX 라우터가 감염됐다는 사실은 UNC3886가 실행 가능한 백도어를 성공적으로 배포했음을 의미한다. 맨디언트는 조사를 통해 UNC3886가 멀웨어의 영향을 받은 디바이스에 대해 최고 관리자 권한(root access)을 획득한 것을 확인했다.
위협 행위자가 Veriexec 보호를 비활성화할 경우 경고 알림이 작동되기 때문에 승인되지 않은 바이너리(unauthorized binaries)가 실행되는 것을 방지한다. 그러나 신뢰할 수 없는 코드가 신뢰할 수 있는 프로세스의 컨텍스트 내에서 발생하는 경우에는 악성 코드가 실행될 수 있다.
맨디언트의 조사 결과, UNC3886은 새로운 공격 기법인 ‘프로세스 인젝션(process injection)’을 통해 합법적인 프로세스의 메모리에 악성 코드를 주입해 Veriexec을 우회한 것으로 드러났다. 프로세스 인젝션은 Veriexec이 활성화된 상태에서 위치 독립 코드(PIC) 버전의 lmpad 백도어를 실행하기 위한 목적으로 사용됐으며, 손상된 주니퍼 라우터의 파일 시스템에서 확인된 다른 백도어 실행은 지원하지 않는 것으로 나타났다.
· 진화하는 UNC3886의 전술·기술·절차(TTP): 과거 UNC3886는 네트워크 에지 디바이스(network edge device) 공격에 집중해왔지만, 이번 공격은 그들이 인터넷 서비스 제공업체(ISP)의 라우터와 같은 내부 네트워킹 인프라도 표적으로 삼고 있음을 시사한다. 이러한 공격이 성공할 경우 상당한 영향을 미칠 수 있다.
이번 공격은 네트워크 디바이스 업데이트의 중요성을 다시 한번 강조한다. 맨디언트와 주니퍼네트웍스는 네트워크 디바이스를 최신 보안 패치가 포함된 버전으로 업그레이드할 것을 권장한다. 특히 주니퍼네트웍스의 고객은 권장사항을 검토하고 적용할 것을 강력히 권고한다.
맨디언트의 추가 권고사항은 다음과 같다.
· 안전한 인증: 네트워크 디바이스 관리를 위한 강력한 다중 인증(MFA) 시스템과 세분화된 역할 기반 접근 제어(RBAC) 시스템을 통해 중앙 집중식 ID 및 액세스 관리(IAM) 시스템을 구축해야 한다.
· 구성 관리: 정의된 템플릿 및 표준에 대한 구성 유효성 검사를 지원하는 네트워크 구성 관리를 구현하고, 편차를 자동으로 수정하거나 수동 개입을 위한 경고를 발동하는 기능을 구축해야 한다.
· 모니터링 강화: 고위험 관리 활동을 식별하고 우선순위를 지정하며, 탐지 효과를 정기적으로 검토하는 프로세스를 갖춘 모니터링 솔루션을 구현해야 한다.
· 취약점 관리: 잘 알려지지 않은 운영 체제의 취약점을 포함해 네트워크 디바이스의 취약점을 사전에 패치하고 완화해야 한다.
· 디바이스 수명 주기 관리: 사전 모니터링, 소프트웨어 자동 업데이트, 지원 종료(EOL) 교체 계획이 포함된 디바이스 수명 주기 관리 프로그램을 구축해 네트워크 디바이스를 항상 안전하게 유지해야 한다.
· 보안 강화: 엄격한 액세스 제어, 네트워크 세분화 및 기타 보안 조치를 통해 네트워크 장치, 관리 장치 및 네트워크 장치를 관리하는 시스템의 보안 수준을 강화해야 한다.
· 위협 인텔리전스: 위협 인텔리전스(Threat Intelligence)를 선제적으로 활용해 새로운 위협에 대한 보안 제어 효과를 지속적으로 평가하고 개선해야 한다.
이번 보고서에 대한 자세한 내용은 블로그를 통해 확인할 수 있다.
