맨디언트가 이반티 커넥트 시큐어(Ivanti Connect Secure, ICS) VPN 어플라이언스의 취약점을 악용한 공격 사례를 분석한 결과, 중국과 연계된 사이버 스파이 그룹 UNC5221의 활동 정황이 포착됐다. 이번 조사는 이반티 협력 하에 진행됐으며 대응을 위한 새로운 보안 권고 사항도 함께 발표됐다.
문제가 된 취약점(CVE-2025-22457)은 초기에는 서비스 거부(DoS) 공격에 그치는 것으로 간주됐지만, 맨디언트는 UNC5221이 ICS 22.7R2.6 패치를 분석해 구버전에서 원격 코드 실행이 가능하다는 점을 파악했을 가능성이 높다고 밝혔다. 실제 공격은 3월 중순부터 시작된 것으로 확인됐다.
패치가 배포된 이후에도 이를 적용하지 않은 시스템을 노린 ‘엔데이(N-day)’ 공격이 활발히 발생하고 있다. 이에 따라 ICS 22.7R2.5 이하 버전 사용자들에게는 즉시 패치 적용이 강력히 권고되고 있다.
이번 공격에서 UNC5221은 메모리에 상주하는 신규 멀웨어 패밀리를 활용한 것이 특징이다. ‘TRAILBLAZE’는 백도어를 주입하는 경량 드로퍼이며, ‘BRUSHFIRE’는 SSL 기능을 통해 명령을 수신하는 수동 백도어다. 공격자는 다단계 쉘 스크립트를 통해 이 멀웨어들을 배포하고 웹 프로세스의 메모리에 직접 주입해 탐지를 회피했다.
공격에 성공한 이후에는 자격 증명을 탈취하고 추가 네트워크 침투 및 데이터 유출이 가능해진다. 이는 EDR 솔루션이 적용되지 않은 기업 환경에서 특히 위험하다.
찰스 카마칼 맨디언트 CTO는 “UNC5221의 활동은 중국 연계 사이버 스파이 그룹들이 엣지 디바이스를 지속적으로 표적 삼고 있음을 보여준다”며 “이들은 빠르게 보안 취약점을 분석하고 맞춤형 악성코드를 제작해 침입을 시도하고 있다”고 경고했다.
헬로티 구서경 기자 |
