중국과 연계된 것으로 추정되는 국가 지원 해커들이 마이터(MITRE)의 연구개발 네트워크를 해킹해서 이반티(Ivanti) VPN 제품의 제로데이 취약점을 이용해 접근한 뒤, 브이엠웨어(VMware) 환경 내에서 정교한 악성코드를 배포하여 탐지를 회피하고 지속적인 공격을 유지했다는 사실이 밝혀졌다.

초기 침투는 2024년 1월 초, MITRE의 네트워크 실험, 연구 및 가상화 환경이 공격당했다. 공격자들은 이반티 컨텍트 시큐어(Ivanti Connect Secure) VPN 기기에서 발견된 CVE-2023-46805와 CVE-2024-21887 취약점을 이용해 공격했다. 이 취약점들은 공격 당시에는 알려지지 않았으며, 이후 사이버 보안 기업 볼렉시티에 의해 공개됐다.

이들은 이반티 취약점을 이용한 후, 세션 하이재킹 기법을 사용해 MITRE의 다중 인증 시스템을 우회했다. 그들은 관리자 권한을 획득한 후 브이엠웨어 인프라에 침투했다. 이번 공격의 특징은 지속성을 확보하고 탐지를 회피하기 위해 여러 정교한 도구와 악성코드를 사용했다는 점이다.

공격자들은 브릭스톰(BrickStorm)이라는 VMware vCenter 백도어와 비플러시라는 웹 셸을 사용해 접근을 유지했다. 또한, WireFire라는 웹 셸을 배포하고, BushWalk라는 또 다른 웹 셸을 사용해 데이터를 유출했다. 이러한 도구들은 중앙 관리 시스템인 vCenter로부터 활동을 숨기고, 침투한 환경 내에서 은밀히 활동한 것으로 조사됐다.

공격자들은 'VPXUSER'라는 사용자 계정을 통해 VMware 환경 내에서 불법 가상 머신(VM)을 생성했다. 이 VM들을 통해 vCenter 서버의 톰캣 서버에서 파이선 기반 터널링 도구를 실행하여, 공격자가 제어하는 VM과 ESXi 하이퍼바이저 인프라 간에 SSH 연결을 용이하게 했다. 이러한 전략은 중앙 관리 인터페이스로부터 활동을 숨기고, 침투한 시스템을 계속해서 제어할 수 있도록 했다​.

2024년 4월, 침해 사실을 발견한 후 MITRE는 즉각적으로 NERVE 환경을 오프라인 상태로 전환하고, 철저한 조사를 시작했다. MITRE는 제3자 포렌식 팀의 도움을 받아 조사를 진행했으며, 다른 조직들이 유사한 위협을 탐지하고 완화할 수 있도록 스크립트를 공유했다. MITRE와 크라우드스트라이크가 각각 개발한 Invoke-HiddenVMQuery와 VirtualGHOST라는 스크립트는 VMware 환경 내 숨겨진 VM 및 기타 악성 활동을 식별하는 데 사용된다.

이번 사건은 가장 철저한 보안 조치를 취한 조직조차도 지속적인 위협에 직면할 수 있다는 것을 보여준 사례다. MITRE는 사이버 보안 모범 사례의 선도자임에도 불구하고, 이번 정교한 공격에 피해를 입었다. 이번 침해 사건은 빠른 취약점 관리의 중요성과 지속적인 모니터링 및 지능형 위협 탐지 능력을 강화해야 한다고 강조했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★