​맨디언트(Mandiant)는 2025년 4월 3일, 이반티 커넥트 시큐어(Ivanti Connect Secure, 이하 ICS) VPN 어플라이언스의 치명적인 취약점인 CVE-2025-22457을 악용한 중국 연계 사이버 스파이 그룹 UNC5221의 공격 활동을 상세히 분석한 보고서를 발표했다. ​

이 취약점은 제한된 문자 공간으로 인한 버퍼 오버플로우(Buffer Overflow)로, 초기에는 서비스 거부(Denial of Service, DoS) 공격만 가능하다고 평가되었다. 그러나 UNC5221은 해당 취약점을 악용하여 원격 코드 실행(Remote Code Execution, RCE)을 달성한 것으로 나타났다.​

맨디언트와 이반티는 2025년 2월 11일에 ICS 22.7R2.6 버전에서 해당 취약점에 대한 패치를 배포했다. 그러나 패치가 적용되지 않은 시스템에 대한 공격이 3월 중순부터 활발하게 발생하고 있어, 모든 고객에게 즉시 패치를 적용할 것을 강력히 권고했다.​ 공격세부 사항은 다음과 같다. 

▲새로운 멀웨어 패밀리 배포: UNC5221은 성공적인 취약점 악용 후, TRAILBLAZE와 BRUSHFIRE라는 두 가지 새로운 멀웨어를 배포했다. TRAILBLAZE는 메모리 상주형 드로퍼로, BRUSHFIRE 백도어를 실행 중인 /home/bin/web 프로세스에 주입한다. BRUSHFIRE는 SSL 기능을 악용하여 은밀하게 명령을 수신하는 수동 백도어로 작동한다. ​

▲정교한 전술, 기술, 절차(TTPs): 공격자는 쉘 스크립트 드로퍼를 사용하여 TRAILBLAZE를 실행하고, 이를 통해 BRUSHFIRE를 웹 프로세스의 메모리에 직접 주입한다. 이러한 메모리 상주 방식은 탐지를 회피하기 위한 전략으로 분석된다. ​

▲기존 멀웨어 생태계 활용: 이전에 보고된 SPAWN 멀웨어 생태계도 이번 공격에서 관찰되었다. 이는 UNC5221이 지속적으로 다양한 멀웨어 도구를 활용하여 공격을 수행하고 있음을 시사한다. ​

이반티와 맨디언트는 ICS 22.7R2.5 이하의 취약한 버전을 사용하는 모든 고객에게 즉시 패치를 적용할 것을 권고했다. 또한, 외부 및 내부 무결성 검사 도구(Integrity Checker Tool, ICT)를 사용하여 시스템의 무결성을 확인하고, 의심스러운 활동이 발견되면 즉시 이반티 지원 부서에 문의할 것을 당부했다. ​

UNC5221의 이번 활동은 중국 연계 스파이 그룹이 전 세계적으로 엣지 디바이스를 지속적으로 표적으로 삼고 있음을 보여준다. 이들은 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션을 사용하지 않는 기업의 시스템을 공략하기 위해 지속적으로 보안 취약점을 연구하고 맞춤형 악성 코드를 개발하고 있다. 따라서 기업들은 최신 패치를 신속히 적용하고, 보안 모니터링을 강화하여 이러한 위협에 대비해야 한다.

[K-CTI 2025] 국내 최대 사이버위협·침해사고대응 인텔리전스 컨퍼런스 개최(7시간 교육이수)

-주최: 데일리시큐

-일시 2025년 4월 15일(화) / 오전 9시~오후 5시

-장소: 한국과학기술회관 국제회의실 및 로비

-인원: 정보보호 실무자 700여 명(현업 보안책임자/실무자만 참석 가능)

-참가비: 현업 보안실무자는 무료

-교육이수: 공무원 및 일반기업 보안교육 7시간/CPPG, CISSP 등 교육이수 7시간 인정

-등록마감: 2025년 4월 13일 오후 5시까지

-참석불가: 학생, 프리랜서, 무소속, 정보보호 업무와 상관없는 자는 참석불가

-참관 및 참가기업 문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com

-사전등록 필수: 클릭

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★