맨디언트 “중국, 오래된 주니퍼 장비 이용 스파이 활동 벌여” - 데이터넷
맨디언트 “중국, 오래된 주니퍼 장비 이용 스파이 활동 벌여” - 데이터넷
[데이터넷] 중국 연계 스파이 그룹 UNC3886이 주니퍼 네트웍스의 주노스 운영체제(Junos OS) 취약점을 악용한 맞춤형 백도어를 배포하고 있는 것으로 나타났다.구글 클라우드 맨디언트가 주니퍼네트
www.datanet.co.kr
- 공격 개요
- 중국 연계 해킹조직 UNC3886이 주니퍼 네트웍스의 Junos OS 기반 라우터를 악용해 맞춤형 백도어 배포
- 주요 표적은 미국과 아시아 지역의 국방, 기술, 통신 기업
- 공격에는 지원 종료(EOL)된 주니퍼 MX 라우터가 활용됨
- 주요 공격 기법 및 멀웨어 특성
- TinyShell 백도어의 변종 6종을 사용하여 장기 은닉성 확보
- 로깅 무력화 스크립트, 능동/수동 백도어 기능 포함
- Veriexec 보안 체계를 우회하기 위해 Process Injection(프로세스 인젝션) 기술 활용
- 정상 프로세스 메모리에 악성코드를 삽입하여 무단 실행
- PIC(Position Independent Code) 기반의 lmpad 백도어를 실행하는 데 사용
- UNC3886은 대상 시스템에서 루트 권한 획득에 성공한 정황 확인
- 전술 변화 및 위협 확대
- 기존 네트워크 엣지 디바이스에서 ISP 라우터 및 내부 인프라로 공격 영역 확장
- Zero-day exploit을 기반으로 한 지속적 스파이 활동 전개
- 공격 성공 시 탐지 회피, 장기 은닉, 통신 감청, 자격증명 수집 가능성 확대
- 보안 권고
- 다중 인증(MFA) 및 세분화된 역할 기반 접근 제어(RBAC) 도입으로 중앙 집중 ID 관리 강화
- 네트워크 구성 관리 자동화 및 템플릿 기반 구성 유효성 검증 체계 구축
- 고위험 활동 감시를 위한 모니터링 강화 체계 운영 및 주기적 효과성 검토
- 운영체제 및 네트워크 디바이스의 패치 관리 체계화
- 디바이스 수명주기 관리 프로그램 운영(사전 모니터링, 자동 업데이트, 교체 계획 포함)
- 네트워크 장비 전반에 대한 접근 통제 및 네트워크 세분화(Security zoning) 조치
- 최신 위협 인텔리전스(TI) 반영으로 보안 정책 지속 보강
- 결론
- UNC3886은 고도의 시스템 이해를 바탕으로 EOL 장비를 타깃으로 하는 정밀 APT 공격을 전개
- 백도어는 단순 침입 도구를 넘어 보안 시스템 무력화 및 은닉 지속성 확보 수단으로 활용됨
- 네트워크 인프라 운영 기업은 지원 종료 장비 폐기, 패치 적용 체계화, APT 방어 체계 수립이 시급
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| S-BOM(소프트웨어 자재 명세서)의 도입과 보안적 중요성 (0) | 2025.04.17 |
|---|---|
| 인증해제공격 위협에 무방비한 와이파이 환경의 보안 문제 (0) | 2025.04.17 |
| 생성형 AI 레드팀 운영 전략과 OWASP 가이드 분석 (0) | 2025.04.17 |
| 주니퍼 주노스 OS 해킹 사건, 중국 연계 해킹조직 UNC3886 배후로 지목 (0) | 2025.04.17 |
| 불법 소프트웨어 유포 사이트 통한 MassJacker 멀웨어 유포…가상화폐 클립보드 탈취 집중 (1) | 2025.04.17 |