맨디언트 컨설팅(Mandiant Consulting)이 엔드포인트 탐지·대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 BRICKSTORM 백도어를 설치하는 다수의 공격을 탐지·대응했다고 발표했다. 이번 사례는 UNC5221 및 중국 연계 위협 행위자들이 연루된 것으로 추정되며 고급 포렌식 회피 기법과 멀웨어 변형을 활용해 평균 393일간 탐지되지 않은 채 유지된 점이 특징이다. 이러한 공격은 법률회사·SaaS 제공업체·기술기업 등 핵심 인프라를 겨냥해 지속적 액세스를 확보하고 가치 있는 지적재산권(IP)과 민감 데이터를 탈취하는 데 목적을 둔다.

 

조사 결과 공격자들은 VMWare vCenter·ESX 호스트 등 새로운 장치 플랫폼을 악용했고 메모리 내 변조, 맞춤형 드로퍼, 난독화 기법을 통해 탐지를 회피한 정황이 확인됐다. 백도어는 장기간 액세스를 유지하도록 설계돼 시작 스크립트 변조와 백도어 배포로 초기 대응을 회피했으며 이 과정에서 피해 조직의 권한을 확보해 해당 권한이 SaaS 고객으로 확장되거나 향후 제로데이 취약점 발굴에 악용될 수 있다는 위험 신호도 포착됐다.

 

이번 공격의 배후로 지목된 UNC5221은 과거 ‘실크 타이푼(Silk Typhoon)’으로도 보고됐으나 Google Threat Intelligence Group(GTIG)은 이들 클러스터를 별개의 위협 행위자로 분류하고 있다. 조사팀은 이번 캠페인이 지정학적 스파이 활동, 액세스 확보, 취약점 발굴을 통한 IP 탈취 등 복합적 목적을 가진 공격이라고 평가했다.

 

 

찰스 카르마칼(Charles Carmakal) 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO, Google Cloud Mandiant Consulting)는 "브릭스톰 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다"며 "UNC5221이 확보한 접근 권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나 향후 공격에 악용될 수 있는 제로데이 취약점 발굴로 이어질 수 있다. 이에 따라 맨디언트 컨설팅은 EDR 솔루션이 설치되지 않은 시스템에 브릭스톰을 포함한 백도어가 잠복해 있는지 적극적으로 탐지하는 것을 권장한다"고 전했다.

 

조사 내용은 고위험 표적을 중심으로 한 장기적 침투와 회피 기법을 재확인해 기업 보안 운영자에게 EDR 미설치 시스템에 대한 가시성 확보와 포렌식 점검, 시작 스크립트 무결성 검증, 의심스러운 드로퍼·메모리 변조 징후 탐지 등 대응 강화를 촉구하는 근거로 제시된다.

 

헬로티 구서경 기자 |