[아이뉴스24 윤소진 기자] 구글 클라우드의 사이버보안 전담 조직 맨디언트 컨설팅은 엔드포인트 탐지·대응(EDR)이 설치되지 않은 어플라이언스를 겨냥한 ‘브릭스톰(BRICKSTORM)’ 시스템 우회 악성코드(백도어) 공격이 평균 393일 동안 탐지되지 않고 잠복했으며, 확보한 접근 권한이 서비스형소프트웨어(SaaS) 고객으로까지 확산될 수 있다고 26일 밝혔다.
![구글 클라우드 로고. [사진=구글 클라우드]](https://image.inews24.com/v1/b75585e2cba9d5.jpg)
맨디언트 컨설팅에 따르면 브릭스톰 백도어는 UNC5221 및 중국 연계 위협 행위자로 추정되는 그룹에 의해 수행됐다. 이들은 메모리 내 변조, 맞춤형 드로퍼, 난독화 등 고급 기법을 사용해 포렌식 분석을 회피하며 장기간 탐지를 피했다.
맨디언트 컨설팅은 공격의 목적을 피해자의 환경에 지속적으로 액세스를 유지해 가치가 높은 지적 재산(IP) 및 민감한 데이터를 탈취하는 것으로 파악했다. 법률회사, SaaS 제공업체, 기술 기업 등 민감한 데이터를 보유한 핵심 서비스를 표적으로 삼았다는 것이다.
공격자는 VM웨어 vCenter·ESX 호스트 등 가상화 관리 포인트를 악용해 백도어를 배포했으며, 시작 스크립트를 변조해 초기 대응을 회피하는 방식으로 지속성을 확보한 것으로 나타났다.
공격의 배후로 추정되는 UNC5221은 과거에 ‘실크 타이푼’으로 보고된 위협 행위자와 동일한 것으로 여겨졌으나, Google Threat Intelligence Group (GTIG)은 현재 두 클러스터 그룹을 각각의 독립된 위협 행위자로 파악하고 있다.
찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO는 “브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다”고 설명했다.
그는 이어 “UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나, 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다"며 "EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극적으로 탐지하는 것을 권장한다”고 당부했다.
/윤소진 기자(sojin@inews24.com)
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기