반도체 전문 온라인 매거진 - 올포칩

맨디언트 컨설팅(Mandiant Consulting)이 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 브릭스톰(BRICKSTORM) 백도어를 설치하는 다수의 공격에 대응했다고 밝혔다. 해당 공격은 UNC5221 및 중국 연계 위협 행위자들의 소행으로 추정되며, 고급 포렌식 회피 및 멀웨어 변형 기법을 사용해 평균 393일동안 탐지되지 않은 상태로 지속되었다. 

이러한 정교한 공격의 목적은 피해자의 환경에 지속적으로 액세스를 유지해 가치가 높은 지적 재산(IP) 및 민감한 데이터를 탈취하는 것이다. 이번 공격의 배후로 추정되는 UNC5221은 과거에 ‘실크 타이푼(Silk Typhoon)’으로 보고된 위협 행위자와 동일한 것으로 여겨졌으나, Google Threat Intelligence Group (GTIG)은 현재 두 클러스터 그룹을 각각의 독립된 위협 행위자로 파악하고 있다. 

이번 공격에 대한 주요 조사 결과는 다음과 같다.

• 핵심 인프라를 겨냥한 공격: 이번 공격은 법률 회사, SaaS 제공업체, 기술 기업 등 민감한 데이터를 보유한 필수 서비스 제공 기업을 표적으로 삼았다.
• 공격 목적: 이러한 공격은 지정학적 스파이 활동, 액세스 획득, 취약점 발굴을 위한 지적 재산권(IP) 탈취 등을 목적으로 한다. 
  • 최근 조사에 따르면, 미국의 법률 분야를 겨냥한 사이버 공격은 미국의 국가 안보 및 국제 무역에 대한 정보를 수집하기 위한 것으로 나타났다.
• 회피 기법: 위협 행위자들은 VMWare vCenter 및 ESX 호스트와 같은 새로운 장치 플랫폼을 활용하고, 메모리 내 변조, 맞춤형 드로퍼(dropper), 난독화 기법을 사용해 탐지를 회피한다.
• 장기간 지속: 해당 백도어는 액세스를 장기간 유지하기 위한 목적으로 설계되었으며, 위협 행위자들은 시작 스크립트를 변조하고 백도어를 배포해 초기 대응을 회피하고 있다. 

이에 대해 찰스 카르마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO, Google Cloud Mandiant Consulting)는 “브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다”며, “UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나, 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다. 이에 따라 맨디언트 컨설팅은 EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극적으로 탐지하는 것을 권장한다”고 전했다.