VM웨어 생태계 건드리는 중국 해커들...점점 누적되는 증거들

요약 : 보안 외신 SC미디어에 의하면 2022년 VM웨어 ESXi 호스트들을 집중적으로 노린 사이버 공격 캠페인의 배후에 중국 해커들이 있었다는 것으로 결론이 나고 있다고 한다. 보안 업체 맨디언트(Mandiant)는 지난 9월 VM웨어 가상기계 환경을 노리는 공격이 급증하고 있다는 경고글을 블로그에 올린 후 계속해서 추적해 왔는데, 중국 해킹 단체와 관련이 있는 증거들을 다량 발굴했다고 한다. 또한 VM웨어 환경을 노리는 공격의 수위도 그 동안 계속해서 증가했다고 한다. 현재 맨디언트는 이 그룹에 UNC3886이라는 이름을 붙여서 쫓고 있으며, CVE-2023-20867 취약점을 익스플로잇 하는 것으로 분석되고 있다.


배경 : VM웨어 ESXi에 침투한 공격자들은 백도어를 심어 피해자 네트워크 내에서 횡적으로 움직일 기반을 마련한다. 또한 피해자가 취약점을 패치하더라도 백도어를 심었기 때문에 얼마든지 접속할 수 있다. VM웨어는 CVE-2023-20867을 익스플로잇 하려면 ESXi에 대한 루트 권한을 가지고 있어야 하기 때문에 위험하지 않다고 평가했었다.

말말말 : “요즘 공격자들은 단순히 하나의 취약점만 가지고 공격을 실시하지 않습니다. 여러 가지 취약점을 연쇄적으로 익스플로잇 해서 원하는 바를 이뤄내죠. 그렇기 때문에 취약점 위험도 등급이 낮더라도 간과해서는 안 됩니다.” -맨디언트-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>