맨디언트, 주노스 OS 해킹 사건 배후로 ‘中 조직’ 지목
맨디언트, 주노스 OS 해킹 사건 배후로 ‘中 조직’ 지목
주니퍼네트웍스에서 발생한 멀웨어 사고의 범인으로 중국 연계 해킹조직이 지목됐다. 맨디언트는 이들이 라우터를 악용한 맞춤형 악성코드를 배포했다고 전했다. 미국의 사이버보안 기업이자
www.boannews.com
- 사건 개요
- 2024년 중순, 주니퍼네트웍스의 Junos OS 기반 네트워크 장비가 타깃이 된 악성코드 공격 발생
- 구글 클라우드 산하 맨디언트(Mandiant) 조사 결과, 중국과 연계된 해킹조직 UNC3886이 배후로 지목됨
- 대상은 지원 종료된 주니퍼 MX 라우터였으며, 이를 활용해 맞춤형 백도어를 배포
- 공격 방식 및 기술적 특징
- 공격자는 Zero-day exploit을 통해 네트워크 장비 및 가상화 기술 악용
- 주요 피해 대상은 미국 및 아시아 지역의 국방, 통신, 기술 분야 기업
- 6종의 맞춤형 TinyShell 변종 백도어가 라우터에 심어졌으며, 로깅 시스템을 비활성화하는 임베디드 스크립트 포함
- 보안 매커니즘 Veriexec을 우회하기 위해 Process Injection(프로세스 인젝션) 기술 사용
- 정상 프로세스 메모리에 악성코드 삽입
- PIC(Position Independent Code) 형태의 ImpPad 백도어 실행에 사용됨
- 공격 전개 범위 확대
- 기존 에지 디바이스 공격에서 ISP 라우터 및 내부 네트워크 인프라로 공격 대상 확장
- 네트워크 엣지 장비뿐 아니라 백엔드 인프라까지 장기적으로 은밀하게 침투하려는 전략적 움직임 포착
- 보안 권고
- 지원 종료(EOL) 장비 사용 자제 및 최신 보안 패치 적용 필수
- 네트워크 장비 대상 다중 인증(MFA), 세분화된 역할 기반 접근제어(RBAC) 도입 권장
- 고위험 활동 식별 위한 보안 모니터링 시스템 강화 필요
- Veriexec 우회 방식 및 TinyShell 변종 탐지 위한 시그니처 기반 위협 탐지체계 보강 필요
- 결론
- UNC3886은 고급 지속 위협(Advanced Persistent Threat)을 전개하며, EOL 장비 취약점을 적극 활용
- 프로세스 인젝션 및 맞춤형 백도어를 통해 탐지를 우회하고 장기적 침입 기반을 확보하는 전략이 특징
- ISP 및 핵심 인프라 운영 기업은 네트워크 장비의 보안 패치 적시 적용, 레거시 자산 점검, APT 위협 대응 체계 구축이 시급
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| UNC3886, 지원 종료된 주니퍼 라우터 악용한 맞춤형 백도어 배포 (0) | 2025.04.17 |
|---|---|
| 생성형 AI 레드팀 운영 전략과 OWASP 가이드 분석 (0) | 2025.04.17 |
| 불법 소프트웨어 유포 사이트 통한 MassJacker 멀웨어 유포…가상화폐 클립보드 탈취 집중 (1) | 2025.04.17 |
| 중국 해킹 그룹 UNC3886, 주니퍼네트웍스 라우터 백도어 공격 배후로 지목 (0) | 2025.04.17 |
| GS리테일 개인정보 유출 사건 및 집단소송 제기 (0) | 2025.04.17 |