중국 해킹 그룹 UNC3886, 주니퍼네트웍스 라우터 백도어 공격 배후로 지목

구글 클라우드, 주니퍼네트웍스 공격 배후로 中 해킹 그룹 지목 - 아이티데일리

구글 클라우드, 주니퍼네트웍스 공격 배후로 中 해킹 그룹 지목 - 아이티데일리

 

• 공격 개요
  • 구글 클라우드 맨디언트는 2024년 중순 발생한 주니퍼네트웍스(Juniper Networks) 멀웨어 사고의 배후로 중국 연계 해킹 그룹 UNC3886을 지목
  • 공격 대상은 지원 종료된 주니퍼 MX 시리즈 라우터이며, 맞춤형 백도어를 통해 장기간 은닉 활동 수행
  • UNC3886은 미국 및 아시아 국방, 기술, 통신 기업을 주요 표적으로 삼는 고급 사이버 스파이 그룹
• 주요 기술 및 침투 방식
  • Junos OS 기반 라우터에 맞춤형 TINYSHELL 변종 백도어 배포
  • 프로세스 인젝션(Process Injection) 기법을 사용해 Veriexec 활성화 상태에서도 악성코드 실행 가능
  • Veriexec 우회를 통해 신뢰되지 않은 코드가 신뢰된 프로세스를 통해 실행되도록 조작
  • 멀웨어는 로깅 시스템을 무력화해 보안 모니터링 시스템 탐지를 회피
  • 총 6가지 멀웨어 변종이 발견되었으며, 장기간 은폐 목적의 맞춤형 기능 포함
• 보안 우회 전략
  • 임베디드 스크립트를 통해 로그 기록 비활성화
  • EOL 라우터의 소프트웨어와 하드웨어 취약점을 복합적으로 악용
  • 일부 악성코드는 Impad 백도어를 통해 실행되었으며, Veriexec 활성화 상태에서도 작동
• 보안 권고
  • 네트워크 장비 소프트웨어의 정기적 업데이트 및 패치 적용 필요
  • 네트워크 장비 접근 제어를 위해 다중 인증(MFA) 및 역할 기반 접근제어(RBAC) 도입 권장
  • 고위험 명령 및 설정 변경에 대한 실시간 모니터링 체계 구축 필요
  • 지원 종료된 장비의 운영 지속은 고위험군으로 간주, 조속한 교체 필요
• 결론
  • UNC3886은 EOL 장비와 보안 우회 기법을 조합한 고도화된 침투 수법으로 정교한 백도어를 구축
  • 네트워크 경계 장비에 대한 지속적인 위협은 인프라 전체에 치명적 영향을 미칠 수 있음
  • 기업 및 기관은 EOL 장비 관리 체계를 강화하고, 탐지 우회형 악성코드 대응 전략을 마련해야 함