중국의 사이버 스파이 그룹 UNC3886이 포티넷(Fortinet)과 브이엠웨어(VMware) 제품의 제로데이 취약점을 악용해 장기적인 정보 탈취 활동을 벌여온 것으로 밝혀졌다.

이 그룹은 고도로 정교하고 교묘한 해킹 기술을 사용하여 다양한 조직들을 타깃으로 침입해 사이버 스파이 활동을 전개해 왔던 것이다. 공격 대상에는 국방, 통신, 기술 분야가 포함된다.

악용된 취약점 및 공격 기법은 다음과 같다.

▶Fortinet과 VMware 제로데이:
UNC3886은 다음과 같은 여러 제로데이 취약점을 악용했다.
- CVE-2022-41328(Fortinet FortiOS)
- CVE-2022-42475(Fortinet FortiGate)
- CVE-2023-20867(VMware Tools)
- CVE-2023-34048(VMware vCenter)

이 취약점들은 공격자가 초기 접근 권한을 획득하고 권한을 상승시키며, 침해된 환경에서 지속적인 접근을 유지하도록 했다. 이들은 이러한 결함을 악용하여 백도어와 기타 악성 도구를 네트워크 장치, 하이퍼바이저 및 가상 머신에 설치했다.

UNC3886은 주요 침입 경로가 발견되고 완화된 후에도 접근을 유지할 수 있는 능력을 갖고있는 조직으로 잘 알려져 있다. 이 그룹은 VirtualPita, VirtualPie, VirtualGate와 같은 맞춤형 악성 소프트웨어를 배포하여 vSphere Installation Bundles (VIBs)을 사용해 설치했다. 이러한 도구는 공격자가 명령을 실행하고 파일을 전송하며 시스템을 조작할 수 있게 해주어 보안 경보를 피할 수 있었다.

침입 후 UNC3886은 정교한 스크립트와 악성 소프트웨어를 사용하여 vCenter 서버 및 기타 중요 시스템에서 자격 증명을 수집했다. 그룹의 맞춤형 악성 소프트웨어는 VMware의 VMCI 소켓을 악용하여 횡적 이동 및 지속성을 유지하며, 이를 통해 전통적인 네트워크 보안 조치를 우회하고 탐지를 피할 수 있었다.

UNC3886의 활동은 주로 북미, 동남아시아 및 오세아니아 지역의 조직을 대상으로 했으며, 추가 피해는 유럽, 아프리카 및 아시아의 다른 지역에서도 확인되었다. 타겟 부문에는 정부, 통신, 기술, 항공우주, 방위 및 에너지 유틸리티 분야가 포함된다. 이 그룹이 이러한 산업을 집중적으로 공격하는 것은 정보 수집 및 민감한 데이터 탈취를 목적으로 하고 있었던 것으로 파악된다.

맨디언트는 분석보고서를 발표하고 "Fortinet과 VMware 제품을 사용하는 조직은 최신 보안 패치를 신속하게 적용하고 해당 공급업체에서 제공하는 보안 지침을 따라야 한다"고 강조했다.