최근 중국 해킹 그룹으로 알려진 UNC3886 그룹이 VMware vCenter Server의 중요한 제로데이 취약점을 은밀하게 무기화해 전세계 기업들을 대상으로 사이버 공격을 전개해 온 것으로 드러났다고 맨디언트 보고서를 인용해 해커스뉴스가 20일 보도했다.

맨디언트 보고서에 따르면, 공격 탐지를 회피하기 위해 제로데이를 능숙하게 사용하는 것으로 알려진 이 그룹은 2021년 말부터 이 취약점을 활용해 왔다고 전했다.

이번 CVE-2023-34048 취약점은 CVSS 9.8의 심각한 점수를 받았다. 이 취약점을 악용하면 네트워크 액세스 권한이 있는 악의적 공격자가 vCenter Server에 무단 명령을 실행할 수 있다. VMware는 2023년 10월 24일에 이 문제를 즉시 해결했지만, 이 그룹의 활동은 이미 상당한 기간에 걸쳐 이루어졌다.

맨디언트 보고서는 UNC3886이 제로데이를 이용해 은밀하게 공격을 수행하는 데 능숙하다고 전했다.

UNC3886은 CVE-2023-34048을 익스플로잇해 또 다른 VMware 취약점(CVE-2023-20867, CVSS 점수: 3.9)을 추가로 익스플로잇해 손상된 ESXi 호스트에서 임의의 명령을 실행하고 게스트 가상 머신(VM)과 파일을 주고받을 수 있는 게이트웨이를 제공했다. 이 사실은 2023년 6월 맨디언트의 보고서에서 밝혀졌다.

VMware vCenter Server 사용자는 최신 버전으로 업데이트해야 안전할 수 있다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★