이번 맨디언트 보고서에 따르면 공격자는 이 취약점을 통해 게스트 VM 관리자나 루트 암호 없이 하이퍼바이저에서 게스트 VM 명령을 실행할 수 있는 것으로 나타났다. 또 포렌식 관점에서 볼 때 이러한 과정은 합법적이고 디지털 서명된 윈도우 게스트 VM의 vmtoolsd.exe 등의 VM웨어 실행 파일에서 진행된다.
아울러 UNC3886는 VMCI 소켓을 남용하고, 이들은 하이퍼바이저에 VMCI 백도어를 구축한 후, 네트워크 연결 또는 VLAN 구성에 관계없이 VMCI 백도어가 실행되는 모든 게스트 시스템에서 직접 백도어에 다시 연결할 수 있었다. 공격자가 백도어를 통해 ESXI 호스트에 다시 액세스하면 명령을 실행하거나 다른 게스트 VM에게 파일을 전송하거나 받을 수 있었다.
VM웨어 하이퍼바이저를 위한 EDR 솔루션이 없고 대부분의 조직은 이러한 시스템에서의 보안 위협 증거를 적극적으로 찾지 않기 때문에 이번 위협 조사는 매우 중요한 의의를 갖고 있다고 업체 측은 밝혔다.
구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO) 찰스 카마칼은 “UNC3886은 최근 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나로, 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다”라며, “자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다”라고 설명했다.
이어 찰스 카마칼은 “UNC3886은 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 피해자 시스템으로 멀웨어 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다”라며, “이들은 성숙한 보안 프로그램을 구축해 국방, 기술 및 통신 조직에 성공적으로 침투했다”라고 덧붙였다.
editor@itworld.co.kr