Chinese Hackers Breach Juniper Networks Routers With Custom Backdoors and Rootkits
- 공격 개요
- 중국 연계 사이버 첩보 그룹 (UNC3886)이 Juniper Networks의 단종된 MX 시리즈 라우터를 대상으로 맞춤형 백도어 및 루트킷을 배포한 공격 정황이 확인됨
- 대상은 미국 및 아시아의 국방, 통신, 기술 기반 조직이며, 내부 네트워크 인프라를 정조준한 장기적 스텔스 침투 시도가 특징
- TinyShell 기반 백도어, 로그 회피, 패킷 스니핑, veriexec 우회 등 고급 기술이 동원됨
- 백도어 구성 및 기능
- 총 6종의 TinyShell 기반 백도어 식별됨
- appid: 파일 업/다운로드, 셸 실행, SOCKS 프록시, C2 변경 기능 포함
- to: appid와 유사하나 C2 주소가 상이
- irad: ICMP 패킷 기반 명령 수신용 수동형 백도어
- lmpad: 메모리 내 프로세스 인젝션을 통한 로깅 중단 기능
- jdosd: UDP 기반 백도어, 파일 전송 및 원격 셸 기능 보유
- oemd: TCP 기반 수동 백도어, 파일 업/다운 및 셸 실행 가능
- 총 6종의 TinyShell 기반 백도어 식별됨
- 주요 기술적 특징
- Junos OS의 Verified Exec(veriexec) 기능 우회를 위해 루트 권한 확보 후 정상 프로세스(cat)**에 악성 페이로드 주입
- lmpad는 연결 전후로 로그 기록 중지 및 복구 기능 수행
- Reptile, Medusa 루트킷, PITHOOK (SSH 인증 탈취), GHOSTTOWN (포렌식 방해 도구) 등 다양한 고급 툴셋 병행 사용
- 공격 경로 및 취약점(CVE-2025-21590)
- 공격자는 네트워크 장비 관리를 위한 터미널 서버를 통해 정상 자격 증명으로 접근한 후, 루트 권한을 확보하여 공격 수행
- CVE-2025-21590: 커널의 격리 부족 취약점 (CVSS v4 6.7)
- 로컬 고권한 공격자가 veriexec 보호 장치를 우회하고 악성코드 실행 가능
- 취약점은 Junos OS의 다수 버전에서 패치됨
- 보안 권고
- Juniper는 2024년 RedPenguin 프로젝트를 통해 관련 공격 조사 착수 및 취약점 공개
- 패치 적용 대상 버전
- 21.2R3-S9, 21.4R3-S10, 22.2R3-S6, 22.4R3-S6, 23.2R2-S3, 23.4R2-S4, 24.2R1-S2, 24.2R2, 24.4R1
- Juniper Malware Removal Tool (JMRT) 업데이트 및 악성코드 탐지 시그니처 반영
- veriexec 및 로깅 기능 모니터링 강화, 터미널 서버 접근 통제 및 자격 증명 관리 강화 필요
- 결론
- UNC3886은 장비 내 고급 침투 및 은폐 전략을 통해 탐지 우회를 실현하며, 장기간 백도어 유지를 위한 스텔스형 패시브 백도어 중심의 공격 패턴을 유지
- 장기 운용되는 네트워크 장비에 대한 보안 가시성 확보와 정기적 포렌식 점검이 필수
- veriexec 우회, 루트 프로세스 인젝션, 로그 복원 등 고급 공격 시나리오가 확인됨에 따라, 패치 적용 외에도 네트워크 보안 정책 재검토와 감시 체계 보완이 요구됨
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 고도화된 MFA 우회 기법을 이용한 사용자 계정 탈취 공격 분석 (0) | 2025.04.15 |
|---|---|
| Fortinet, FortiOS 및 FortiSandbox 등 주요 제품군의 보안 취약점 다수 패치 (0) | 2025.04.15 |
| MS, 리모트 데스크톱 앱 지원 중단, ‘윈도우 앱’으로 (0) | 2025.04.15 |
| 경기 침체 속 오픈소스 확산, IT서비스 기업들의 전략적 전환 움직임 (0) | 2025.04.15 |
| 타입스크립트, 구글 고 기반으로 새롭게 구현, 속도·확장성 개선 기대 (0) | 2025.04.15 |