"中 해킹그룹 UNC3886, 국방·통신 조직 침투 성공"
맨디언트 "침입 탐지 매우 어려워"
(서울=연합뉴스) 이정현 기자 = 글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트는 중국 해킹 그룹 'UNC3886'가 치밀한 프로그램을 기반으로 국방·기술·통신 조직에 침투하는 데 성공했다고 15일 밝혔다.
맨디언트는 UNC3886가 VM웨어의 하이퍼바이저인 'ESXi'의 약점을 악용해 제로데이 공격을 벌인다고 설명했다. 제로데이 공격은 보안 취약점을 이용한 해킹을 뜻한다.
UNC3886는 게스트 VM 관리자나 루트 암호 없이도 하이퍼바이저에서 게스트 VM에 대한 명령을 실행한다. 포렌식 관점에서 볼 때는 이러한 과정이 합법적인 계정과 실행 파일에서 이뤄지기 때문에 문제점이 발견되기 어렵다.
맨디언트는 또 UNC3886가 가상머신 통신 인터페이스(VMCI) 소켓을 남용한다고 밝혔다. 이들은 백도어를 통해 ESXi 호스트에 다시 접근해서 명령을 실행하거나 다른 게스트 VM에게 파일을 전송하고 받을 수 있다.
찰스 카마칼 맨디언트 컨설팅 최고기술책임자(CTO)는 "UNC3886은 오늘날 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나다. 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다"고 말했다.
그러면서 "UNC3886은 자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다"며 "엔드포인트 탐지 및 대응(EDR) 해결책을 지원하지 않는 피해자 시스템으로 악성코드 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다"고 했다.
lisa@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
맨디언트 "침입 탐지 매우 어려워"
(서울=연합뉴스) 이정현 기자 = 글로벌 사이버 보안 기업이자 구글 클라우드 파트너인 맨디언트는 중국 해킹 그룹 'UNC3886'가 치밀한 프로그램을 기반으로 국방·기술·통신 조직에 침투하는 데 성공했다고 15일 밝혔다.
맨디언트는 UNC3886가 VM웨어의 하이퍼바이저인 'ESXi'의 약점을 악용해 제로데이 공격을 벌인다고 설명했다. 제로데이 공격은 보안 취약점을 이용한 해킹을 뜻한다.
UNC3886는 게스트 VM 관리자나 루트 암호 없이도 하이퍼바이저에서 게스트 VM에 대한 명령을 실행한다. 포렌식 관점에서 볼 때는 이러한 과정이 합법적인 계정과 실행 파일에서 이뤄지기 때문에 문제점이 발견되기 어렵다.
맨디언트는 또 UNC3886가 가상머신 통신 인터페이스(VMCI) 소켓을 남용한다고 밝혔다. 이들은 백도어를 통해 ESXi 호스트에 다시 접근해서 명령을 실행하거나 다른 게스트 VM에게 파일을 전송하고 받을 수 있다.
찰스 카마칼 맨디언트 컨설팅 최고기술책임자(CTO)는 "UNC3886은 오늘날 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나다. 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다"고 말했다.
그러면서 "UNC3886은 자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다"며 "엔드포인트 탐지 및 대응(EDR) 해결책을 지원하지 않는 피해자 시스템으로 악성코드 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다"고 했다.
lisa@yna.co.kr
(끝)
<저작권자(c) 연합뉴스, 무단 전재-재배포 금지>
관련뉴스
