EDR 미설치 장비 대상 ‘브릭스톰’ 백도어 공격 발견

[아이티데일리] 구글이 미국에서 법률 회사, 서비스형 소프트웨어(SaaS) 제공업체 등을 표적으로 삼은 공격 캠페인을 발견했다. 이 공격은 보안 솔루션 탐지가 닿지 않은 시스템 관리용 장비를 노렸으며 1년이 넘도록 잠복했던 것으로 확인됐다.

구글 클라우드 맨디언트 컨설팅은 26일 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 장비에 ‘브릭스톰(BRICKSTORM)’ 백도어(Backdoor)를 설치하는 다수의 공격에 대응했다고 발표했다. 백도어는 시스템에 무단 접근해 정보를 수집하거나 추가 공격으로 이어지는 데 쓰이는 악성코드다.

이번 공격은 법률 회사, SaaS 제공업체 등 민감한 데이터를 다루는 핵심 서비스 업체를 표적으로 삼았다. 맨디언트는 UNC5221과 중국 연계 해킹 조직의 소행으로 추정했다. UNC5221은 과거 ‘실크 타이푼(Silk Typhoon)’과 동일 조직으로 여겨졌으나 구글 측은 현재 이 둘을 별개 조직으로 파악하고 있다.

구글 클라우드 맨디언트 컨설팅 찰스 카르마칼(Charles Carmakal) 최고기술책임자(CTO)는 “브릭스톰 백도어를 사용한 공격은 정교한 기법으로 기업 보안망을 우회하고 중요 시스템을 집중적으로 공략하는 특성이 나타났다”며 “이번 공격 같은 시도는 조직에게 중대한 위협이 될 것”이라고 경고했다.

공격자들은 주로 EDR 도구를 지원하지 않는 VM웨어의 브이센터(vCenter) 서버를 공략했다. 먼저 VPN, 방화벽 등 네트워크 장비를 타고 내부망에 침투한 뒤 브이센터 서버를 장악했다. 브이센터는 ‘브이스피어(vSphere)’ 가상화 플랫폼을 관리하는 역할을 담당해 가상 머신 생성 등 작업을 수행할 수 있어 공격자들이 노리기 좋은 대상이다.

보안업계 관계자는 “EDR 에이전트는 일반적으로 많은 시스템 리소스를 사용한다”며 “안정성을 문제로 시스템 관리 장치에 EDR를 설치하지 않고, 대신 네트워크 및 로그 기반 모니터링을 우선시하는 곳도 있다”고 설명했다.

브이센터를 장악한 공격자는 ‘액티브 디렉토리(Active Directory, AD)’ 서버 등으로 횡적 이동(Lateral Movement)하며 공격 범위를 넓혀 나갔다. 그다음 지속적으로 시스템에 접근할 수 있도록 파일을 다운로드받아 장비를 다시 시작할 때 백도어가 자동 실행되도록 조작했다.

공격자들은 대개 시스템을 장악한 뒤 조직 내 이메일에 접근하려고 시도했다. AD 애플리케이션을 이용해 모든 메일함에 들어갈 수 있는 권한을 얻은 정황이 포착됐다.

특히 설치된 백도어는 오랫동안 보안 프로그램에 걸리지 않도록 설계됐다. 공격자들은 코드를 분석하기 힘들도록 난독화하거나 정상 시스템 프로세스인 것처럼 꾸미는 방식을 활용했다. 브릭스톰 백도어는 평균 393일간 보안 탐지를 피할 수 있었고, 이 때문에 맨디언트는 초기 침입 경로를 파악하는 데 어려움을 겪었다.

맨디언트는 가상사설망(VPN) 등 에지(Edge) 장비에서 공격자들이 활동한 흔적을 근거로 제로데이(Zero-day) 취약점을 원인으로 추정했다. 하지만 악성코드가 1년 가까이 잠복했기에 남은 로그가 부족해 취약점 악용에 대한 확실한 증거는 확보하지 못했다.

맨디언트는 이번 공격을 발견한 뒤 악성코드를 탐지할 수 있는 시그니처(패턴)과 함께 침해지표(IoC)를 공유했다. 또 개발자 플랫폼 ‘깃허브(GitHub)’를 통해 조직에서 자체적으로 브릭스톰 활동을 찾아내는 데 쓸 수 있는 스크립트를 배포했다.

찰스 카르마칼 CTO는 “해커 조직은 공격으로 확보한 권한을 활용해 피해 조직을 넘어 고객사 등으로 피해 범위를 넓혀 나갈 수 있다. 또 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로도 이어질 수 있다”며 “EDR이 설치되지 않은 시스템에 악성코드가 잠복해 있는지 탐지할 것을 적극 권장한다”고 말했다.