한국CISO협의회

CISO News HOME > CISO News > 최신뉴스

최신뉴스

마이터 침해 사건, 중국 해커들이 최신 해킹 트렌드만 골라서 노려	2024.05.09
마이터가 공격을 허용했다는 사실이 충격을 준 가운데, 해당 사건에 대한 세부 내용이 공개됐다. 공격자들은 여러 가지 페이로드를 고루 활용해 이반티의 제로데이를 공략했던 것으로 분석됐다. [보안뉴스=네이트 넬슨 IT 칼럼니스트] 중국의 해커들이 여러 가지 공격 도구들을 활용해 마이터(MITRE)를 공격한 사실이 밝혀졌다. 마이터는 보안 분야에서 널리 사용되는 어택(ATT&CK) 프레임워크의 창시 단체로 잘 알려져 있으며, 이반티 커넥스 시큐어(Ivanti Connect Secure)의 제로데이 취약점을 통해 익스플로잇 당했다는 소식이 지난 달 나와 업계에 충격을 안겼다. 공격자들은 마이터 내 R&D 및 개발용 네트워크인 너브(NERVE)에 접근한 것으로 분석됐다. [이미지 = gettyimagesbank] 마이터 공격에 사용된 페이로드들 이번 공격에 여러 개의 페이로드들이 동원됐다. 먼저 눈에 띄는 건 루트롯(Rootrot)이라는 웹셸이다. 정상적인 이반티 커넥트 시큐어 TCC 파일에 임베드 되도록 설계가 되어 있으며, 임베드 된 이후에는 횡적으로 움직일 수 있다. 공격자들은 루트롯을 통해 너브 환경에 침투하는 데 성공했으며, 각종 정보를 빼돌린 것으로 분석되고 있다. 루트롯은 중국의 APT 단체인 UNC5221이 개발한 것으로 알려져 있다. UNC5221은 이반티 제품들의 제로데이를 가장 먼저 익스플로잇 한 단체로 추정된다. 루트롯을 통해 마이터에 침투해 여기 저기 찔러보는 데 성공한 공격자들은 너브 환경에 안착했다. 그런 후 여러 개의 가상기계들을 감염시켰는데, 이 때 다양한 페이로드들이 활용됐다. 그 중 하나가 브릭스톰(Brickstorm)이다. 고 언어로 만들어진 백도어이며, 주로 VM웨어의 브이센터(vCenter) 서버들을 공략하는 데 사용된다. 마이터의 네트워크에서는 두 가지 버전이 발견됐다. 공격자들은 브릭스톰을 웹 서버처럼 설정해 C&C와의 통신을 이어갔고, 각종 악성 행위를 실시했다. 셸 명령어를 실행하거나, 각종 파일을 업로드 및 다운로드 하는 것 등이었다. 그 다음으로는 와이어파이어(Wirefire)라는 페이로드도 있었다. 기프티드비지터(Gifted Visitor)라고도 알려져 있는 웹셸로, 파이선을 기반으로 하고 있으며, 파일을 업로드 하고 임의 명령을 실행할 수 있게 해 주는 공격 도구다. 공격자들은 1월 11일에 처음 와이어파이어를 마이터 내 이반티 장비들로 업로드 한 것으로 분석되고 있다. 이반티 제품 내 취약점이 처음 공개된 것이 1월 10일이었다. 다음으로 공격자들이 사용한 페이로드는 부시워크(Bushwalk)였다. 펄을 기반으로 한 웹셸로, C&C 기능을 수행하는 것이 핵심인 멀웨어다. 그 외에 비플러시(Beeflush)라는 것도 발견됐다. 비플러시는 여태까지 한 번도 공개되지 않은 웹셸로, 웹 트래픽 데이터를 읽어들이고 암호화하는 것으로 분석되고 있다. 마이터는 공격자들의 무기들을 상세히 공개하면서 보안 강화를 위해 꼭 필요한 개념들을 거듭 강조했다. 그것은 다음과 같다. 1) 설계에 의한 보안 2) 제로트러스트 3) 지속 인증 4) 소프트웨어 물자표(SBOM) 보안 업체 크리티컬스타트(Critical Start)의 연구원인 캘리 궨터(Callie Guenther)는 “마이터가 공격을 허용했다고 해서 마이터의 어택 프레임워크 등의 가치가 갑자기 훼손되는 건 아니”라고 강조한다. “원래 사이버 보안이라는 것이 공격자와 방어자의 지속적인 ‘주고 받음’입니다. 항상 공격에 성공할 수도 없고, 항상 방어에 성공할 수도 없습니다. 뚫리는 게 후속 방어의 양분이 되기도 하고, 당장의 공격 실패가 후속 공격의 밑거름이 되기도 합니다.” 그러면서도 궨터는 “서드파티와 제로데이 취약점은 현재 보안 업계가 가장 대처하기 까다로워하는 문제”임을 지적했다. “공격자와 방어자가 서로의 수를 주고 받는 게 보안입니다. 현재는 공격자가 서드파티와 제로데이라는 수를 제시했고, 방어자가 마땅한 대응책을 고안하지 못하고 있는 상황입니다. 즉, 지금은 저희의 차례라는 것이죠. 마이터의 사태가 그러한 사실을 좀 더 크게 알렸을 뿐입니다.” 글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트 [국제부 문가용 기자(globoan@boannews.com)] <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

주요 회원사