맨디언트 컨설팅(Mandiant Consulting)이 엔드포인트 탐지·대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 BRICKSTORM 백도어를 설치하는 다수의 공격을 탐지·대응했다고 발표했다. 이번 사례는 UNC5221 및 중국 연계 위협 행위자들이 연루된 것으로 추정되며 고급 포렌식 회피 기법과 멀웨어 변형을 활용해 평균 393일간 탐지되지 않은 채 유지된 점이 특징이다. 이러한 공격은 법률회사·SaaS 제공업체·기술기업 등 핵심 인프라를 겨냥해 지속적 액세스를 확보하고 가치 있는 지적재산권(IP)과 민감 데이터를 탈취하는 데 목적을 둔다. 조사 결과 공격자들은 VMWare vCenter·ESX 호스트 등 새로운 장치 플랫폼을 악용했고 메모리 내 변조, 맞춤형 드로퍼, 난독화 기법을 통해 탐지를 회피한 정황이 확인됐다. 백도어는 장기간 액세스를 유지하도록 설계돼 시작 스크립트 변조와 백도어 배포로 초기 대응을 회피했으며 이 과정에서 피해 조직의 권한을 확보해 해당 권한이 SaaS 고객으로 확장되거나 향후 제로데이 취약점 발굴에 악용될 수 있다는 위험 신호도 포착됐다. 이번 공격의 배후로 지목된 UNC5221은 과거 ‘실크 타이푼(Silk Typh
맨디언트가 이반티 커넥트 시큐어(Ivanti Connect Secure, ICS) VPN 어플라이언스의 취약점을 악용한 공격 사례를 분석한 결과, 중국과 연계된 사이버 스파이 그룹 UNC5221의 활동 정황이 포착됐다. 이번 조사는 이반티 협력 하에 진행됐으며 대응을 위한 새로운 보안 권고 사항도 함께 발표됐다. 문제가 된 취약점(CVE-2025-22457)은 초기에는 서비스 거부(DoS) 공격에 그치는 것으로 간주됐지만, 맨디언트는 UNC5221이 ICS 22.7R2.6 패치를 분석해 구버전에서 원격 코드 실행이 가능하다는 점을 파악했을 가능성이 높다고 밝혔다. 실제 공격은 3월 중순부터 시작된 것으로 확인됐다. 패치가 배포된 이후에도 이를 적용하지 않은 시스템을 노린 ‘엔데이(N-day)’ 공격이 활발히 발생하고 있다. 이에 따라 ICS 22.7R2.5 이하 버전 사용자들에게는 즉시 패치 적용이 강력히 권고되고 있다. 이번 공격에서 UNC5221은 메모리에 상주하는 신규 멀웨어 패밀리를 활용한 것이 특징이다. ‘TRAILBLAZE’는 백도어를 주입하는 경량 드로퍼이며, ‘BRUSHFIRE’는 SSL 기능을 통해 명령을 수신하는 수동 백도어다. 공격자는 다
상호명(명칭) : (주)첨단 | 등록번호 : 서울,자00420 | 등록일자 : 2013년05월15일 | 제호 :헬로티(helloT) | 발행인 : 이종춘 | 편집인 : 김진희 |
본점 : 서울시 마포구 양화로 127, 3층, 지점 : 경기도 파주시 심학산로 10, 3층 | 발행일자 : 2012년 4월1일 | 청소년보호책임자 : 김유활 | 대표이사 : 이준원 | 사업자등록번호 : 118-81-03520 | 전화 : 02-3142-4151 | 팩스 : 02-338-3453 | 통신판매번호 : 제 2013-서울마포-1032호
copyright(c) HelloT all right reserved
UPDATE: 2025년 10월 13일 20시 55분
