[아이티데일리] 중국과 연계된 스파이 그룹이 이반티 커넥트 시큐어(Ivanti Connect Secure, 이하 ICS)에 대한 보안 취약점을 표적으로 공격을 감행한 사실이 확인됐다. 

구글 클라우드 맨디언트(Mandiant)는 4일 ICS 가상사설망(VPN) 장비의 보안 취약점을 악용한 공격 사례에 대한 조사 결과를 발표했다. 이번 조사는 이반티와 협력해 이뤄졌으며, 해당 취약점 공격에 대응하는 새로운 보안 권고 사항이 담겼다.

이번에 악용된 취약점은 ‘CVE-2025-22457’로 지난 3일 공개됐다. 이는 제한된 문자 공간으로 인한 버퍼 오버플로(Buffer Overflow) 취약점으로, 초기에는 위험도가 낮은 서비스 거부(DoS) 공격 부분으로 여겨졌다. 해당 취약점에 대한 패치는 지난 11일 ICS 22.7R2.6 버전에서 배포됐다.

맨디언트는 중국 연계 사이버 스파이 그룹인 ‘UNC5221’이 지난 2월 배포된 ICS 22.7R2.6을 분석해 ICS 22.7R2.5 및 이전 버전에서 원격 코드를 실행할 수 있음을 파악했을 가능성을 포착했다.

맨디언트에 따르면, CVE-2025-22457에 대한 공격은 지난달 중순부터 시작됐으며 스판(SPAWN) 멀웨어 생태계 배포와 동일하게 UNC5221 소행으로 추정된다. UNC5221은 이반티 및 기타 에지 장치에서 제로데이(Zero-day) 취약점을 악용한 이력이 있다.

취약점 공격에 성공하면 UNC5221은 메모리에 상주하는 멀웨어들을 배포했다. 여기에는 △백도어를 주입하기 위해 설계됀 ‘트레일블레이즈(TRAILBLAZE)’ △SSL 기능을 악용해 은밀히 명령을 수신하는 ‘브러시파이어(BRUSHFIRE)’가 포함됐다.

특히 공격자는 다단계 쉘 스크립트 드로퍼로 이들 멀웨어를 실행함으로써 탐지를 회피했다. 이를 통해 백도어로 불법적 접근을 지속하며 자격증명 도용, 추가 네트워크 침입, 데이터 유출 등을 자행했다.

이번 취약점의 특징은 ‘엔데이(N-day)’ 공격이 발생하고 있다는 점이다. 엔데이 공격은 취약점에 대해 패치가 출시됐음에도 사용자가 이를 적용하지 않아 빚어지는 공격의 형태다.

맨디언트와 이반티는 현재 패치가 적용되지 않은 시스템을 대상으로 공격이 활발히 이뤄지고 있음을 확인했다. 이에 ICS 22.7R2.5 이하의 취약한 버전을 사용 중인 모든 고객에 즉시 패치를 적용할 것을 강력히 권고했다.

맨디언트 컨설팅 찰스 카마칼(Charles Carmakal) 최고기술책임자(CTO)는 “중국과 연계된 스파이 그룹은 에지 장치를 표적으로 삼고 공격을 확대하고 있다. 특히 엔드포인트 탐지 및 대응(EDR) 솔루션을 사용하지 않는 기업을 공략하기 위해 보안 취약점을 연구하고 멀웨어 개발에 힘쓰고 있다”고 설명했다.