UNC3886: 중국과 연계된 새로운 사이버 스파이 위협 행위자, 포티넷 및 VMware 제로데이와 맞춤형 악성코드 악용하여 장기적인 스파이 행위

2024년 1분기, 중국, 북한, 이란, 러시아의 고급 지속 위협(APT) 그룹은 정교한 사이버 스파이 캠페인을 진행하기 위해 크게 향상되고 혁신적인 공격 능력을 보여주었습니다. 이 활동의 급증은 글로벌 사이버 보안 환경에 상당한 도전을 제기했습니다. 최근 보안 전문가들은 중국과 관련된 Velvet Ant 그룹의 활동을 밝혀내어 F5 BIG-IP 장치를 약 3년 동안 침투하여 악성코드를 배포하고 민감한 데이터를 탈취했습니다. 그러나, 새로운 APT가 레이더에 포착되고 있습니다. 사이버 방어자들은 UNC3886으로 알려진 새로운 중국 연계 행위자가 정교한 악성 툴킷을 사용하여 장기적인 사이버 스파이 작전을 조직하고 있다는 것을 발견했습니다.

UNC3886 공격 탐지

The Google의 위협 인텔리전스 팀이 Mandiant 연구에 기반하여 UNC3886에 대한 분석에 따르면, 위협 행위자는 VMware(CVE-2022-22948, CVE-2023-20867) 및 Fortinet(CVE-2022-41328) 제로데이 익스플로잇, 공개된 루트킷, SSH 백도어, 맞춤형 악성코드 샘플 및 여러 지속 메커니즘을 포함한 포괄적인 악성 툴킷을 활용하고 있습니다. 그들의 복잡한 악성 인프라와 장기적인 스파이 활동 동안 레이더를 피하는 능력을 감안할 때, 조직은 잠재적 침해를 사전에 식별하고 견뎌낼 수 있도록 관련 탐지 알고리즘과 도구를 갖추어야 합니다.

SOC Prime 플랫폼은 Google의 위협 인텔리전스 팀 연구 결과에 기반하여 관련 탐지 스택을 집계합니다. 아래의 탐지 탐색 버튼을 클릭하여 규칙 모음을 즉시 자세히 조사하고 광범위한 메타데이터, CTI 링크 및 ATT&CK 참조가 함께 제공됩니다.

탐지 탐색

모든 탐지는 30개 이상의 SIEM, EDR, 데이터 레이크 기술과 호환되며 MITRE ATT&CK 프레임워크와 정렬되어 있습니다.

깊이 있는 위협 조사를 위해 넓은 탐지 범위를 찾고 있는 사이버 방어자들은 SOC Prime의 위협 탐지 마켓플레이스(TDM)를 사용하여 CVE, 악성코드, ATT&CK 기술 또는 기타 관심 항목과 일치하는 관련 규칙 및 쿼리를 검색할 수 있습니다. TDM은 30만개 이상의 탐지 알고리즘과 제로데이, CTI 및 MITRE ATT&CK 참조, 레드팀 도구를 포함한 모든 사이버 공격 또는 위협에 대한 관련 컨텍스트를 집계합니다.

UNC3886 공격 분석

방어자들은 중국 그룹에 연계된 UNC3886으로 추적되는 장기적인 사이버 스파이 활동을 발견했습니다. Mandiant의 연구에 따르면 UNC3886 공격 작전에 대한 연구 결과, 그룹의 적군 행동 패턴은 정교하고 회피적이라고 할 수 있습니다. 중국 공격자들은 다중 레이어 지속성을 활용하여 대상 인스턴스에 장기적인 접근을 유지하여 한 계층이 발견되고 무력화되더라도 레이더 아래에 남아 있을 수 있도록 합니다. 또한 이 그룹은 여러 글로벌 조직을 대상으로 하며, FortiOS와 VMware 장치의 제로데이 취약점(CVE-2023-34048, CVE-2022-41328, CVE-2022-22948, 및 CVE-2023-20867)을 악용하는 배후로 믿어집니다.

취약점 악용에 성공하면 UNC3886은 장기적인 지속성과 탐지 회피를 위해 REPTILE 및 MEDUSA 공개 접근 가능 루트킷을 활용합니다. 공격자들은 또한 신뢰할 수 있는 타사 플랫폼인 GitHub 및 Google Drive를 C2로 활용하여 MOPSLED 및 RIFLESPINE 악성코드를 배포합니다. 추가적으로 SSH 백도어를 사용하여 합법적인 계정을 수집하고 악용하여 손상된 VMware ESXi에서 작동하는 게스트 가상 머신 간의 횡적 이동을 수행합니다. UNC3886은 LOOKOVE를 통해 TACACS 서버를 타격하여 대상 네트워크 장치에 대한 접근을 확장하려고 시도합니다. 후자는 TACACS+ 인증 패킷을 가로채고 복호화한 후 복호화된 내용을 지정된 파일 경로에 저장하는 C로 작성된 스니퍼입니다.

UNC3886 적국 툴킷의 다른 맞춤형 악성 샘플에는 bash shell에 접근을 용이하게 하기 위해 VMware VMCI 소켓에 의존하는 VIRTUALSHINE 백도어, arbitrary 명령어 실행 및 역쉘 구축을 위한 파이썬 기반 백도어인 VIRTUALPIE, 및 VMCI-기반 백도어에 연결된 컨트롤러 모듈인 VIRTUALSPHERE가 포함됩니다.

방어자들은 조직이 정교함과 회피가 증가하는 UNC3886 공격의 위험을 최소화하기 위해 VMware and Fortinet 자문을 준수할 것을 권장합니다. 중국 지원 해킹 집단과 관련된 위협이 증가함에 따라, 주도적인 방어 능력을 구현하여 조직의 사이버 보안 태세를 강화하는 것이 필수적입니다. SOC Prime의 전체 제품군이 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 탐지 스택 검증을 위한 보안 팀에 최신 역량을 제공하여 새롭게 발생하는 위협을 식별하고 정교한 사고로 발전하기 전에 방어할 수 있게 돕습니다.