보안

맨디언트, VM웨어 하이퍼바이저 ESXi의 제로데이 취약점 악용한 중국 스파이 그룹 보고서 발표

편집부 | ITWorld 2023.06.15
맨디언트가 최근 VM웨어의 하이퍼바이저인 ESXi의 제로데이 취약점(CVE-2023-20867)을 악용한 중국 사이버 스파이 그룹 UNC3886과 관련해 새로운 보고서를 발표했다. 이번 보고서는 조직이 현재 배포 중인 특정 멀웨어나 실행 중인 명령에 관계없이 이번 제로데이 취약점 공격의 경로를 탐지하고 대응할 수 있도록 지원하는 전술과 방법론을 강조하는 데 중점을 두고 있다.

이번 맨디언트 보고서에 따르면 공격자는 이 취약점을 통해 게스트 VM 관리자나 루트 암호 없이 하이퍼바이저에서 게스트 VM 명령을 실행할 수 있는 것으로 나타났다. 또 포렌식 관점에서 볼 때 이러한 과정은 합법적이고 디지털 서명된 윈도우 게스트 VM의 vmtoolsd.exe 등의 VM웨어 실행 파일에서 진행된다. 
 

아울러 UNC3886는 VMCI 소켓을 남용하고, 이들은 하이퍼바이저에 VMCI 백도어를 구축한 후, 네트워크 연결 또는 VLAN 구성에 관계없이 VMCI 백도어가 실행되는 모든 게스트 시스템에서 직접 백도어에 다시 연결할 수 있었다. 공격자가 백도어를 통해 ESXI 호스트에 다시 액세스하면 명령을 실행하거나 다른 게스트 VM에게 파일을 전송하거나 받을 수 있었다. 

VM웨어 하이퍼바이저를 위한 EDR 솔루션이 없고 대부분의 조직은 이러한 시스템에서의 보안 위협 증거를 적극적으로 찾지 않기 때문에 이번 위협 조사는 매우 중요한 의의를 갖고 있다고 업체 측은 밝혔다. 

구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO) 찰스 카마칼은 “UNC3886은 최근 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나로, 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다”라며, “자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다”라고 설명했다. 

이어 찰스 카마칼은 “UNC3886은 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 피해자 시스템으로 멀웨어 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다”라며, “이들은 성숙한 보안 프로그램을 구축해 국방, 기술 및 통신 조직에 성공적으로 침투했다”라고 덧붙였다. 
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.