헬로티 –매일 만나는 첨단 산업, 경제, IT 소식

2025.09.26(금)

동두천 25.8℃맑음
강릉 27.3℃구름조금
서울 26.6℃맑음
대전 25.0℃구름많음
대구 22.6℃흐림
울산 23.8℃흐림
광주 24.8℃구름많음
부산 27.2℃흐림
고창 25.2℃구름조금
제주 24.5℃비
강화 25.7℃맑음
보은 24.4℃구름많음
금산 25.9℃구름많음
강진군 26.3℃구름많음
경주시 22.1℃흐림
거제 25.3℃구름많음

IT 맨디언트 “EDR 없는 시스템에서 백도어 잠복 여부 적극 점검해야”

맨디언트 컨설팅(Mandiant Consulting)이 엔드포인트 탐지·대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 BRICKSTORM 백도어를 설치하는 다수의 공격을 탐지·대응했다고 발표했다. 이번 사례는 UNC5221 및 중국 연계 위협 행위자들이 연루된 것으로 추정되며 고급 포렌식 회피 기법과 멀웨어 변형을 활용해 평균 393일간 탐지되지 않은 채 유지된 점이 특징이다. 이러한 공격은 법률회사·SaaS 제공업체·기술기업 등 핵심 인프라를 겨냥해 지속적 액세스를 확보하고 가치 있는 지적재산권(IP)과 민감 데이터를 탈취하는 데 목적을 둔다. 조사 결과 공격자들은 VMWare vCenter·ESX 호스트 등 새로운 장치 플랫폼을 악용했고 메모리 내 변조, 맞춤형 드로퍼, 난독화 기법을 통해 탐지를 회피한 정황이 확인됐다. 백도어는 장기간 액세스를 유지하도록 설계돼 시작 스크립트 변조와 백도어 배포로 초기 대응을 회피했으며 이 과정에서 피해 조직의 권한을 확보해 해당 권한이 SaaS 고객으로 확장되거나 향후 제로데이 취약점 발굴에 악용될 수 있다는 위험 신호도 포착됐다. 이번 공격의 배후로 지목된 UNC5221은 과거 ‘실크 타이푼(Silk Typh

구서경 기자

2025-09-26 11:23