구글 클라우드 맨디언트 컨설팅이 최근 밝힌 바에 따르면, 중국 연계 위협 행위자 그룹 UNC5221이 브릭스톰(BRICKSTORM) 백도어를 활용해 미국 내 주요 산업 분야를 대상으로 대규모 스파이 활동을 벌이고 있다고 발표했다. 이번 공격은 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스를 집중 공격해 평균 393일 동안 탐지를 피해 지속된 것으로 나타났다.
◇ 정교한 침입 기법으로 핵심 인프라 겨냥
UNC5221 그룹은 전통적인 보안 도구의 사각지대에 있는 네트워크 어플라이언스를 표적으로 삼아 지능적인 공격을 수행했다. 이들은 VM웨어 브이센터(VMware vCenter) 및 이에스엑스아이 호스트(ESXi hosts)와 같은 가상화 플랫폼을 중점 표적으로 삼았으며, 메모리 내 변조, 맞춤형 드로퍼(dropper), 난독화 기법 등 고도의 회피 기술을 사용했다.
공격자들은 먼저 인터넷 경계 장비나 원격 접속 인프라를 침해한 후, Go 언어로 작성된 브릭스톰(BRICKSTORM) 백도어를 배포했다. 이 백도어는 소켓스(SOCKS) 프록시 기능을 포함하고 있어 다양한 플랫폼에서 작동할 수 있으며, 특히 엔드포인트 탐지 및 대응(EDR) 도구를 지원하지 않는 어플라이언스 환경에서 효과적으로 작동했다.
공격 대상은 주로 법률 서비스, 서비스형소프트웨어(SaaS) 제공업체, 비즈니스 프로세스 아웃소싱 업체, 기술 기업 등 민감한 데이터를 보유한 핵심 인프라였다. 이러한 표적의 가치는 일반적인 스파이 활동을 넘어서 제로데이 취약점 개발을 위한 데이터 제공과 하위 피해자들에 대한 더 광범위한 접근을 위한 거점 확보에까지 확장된다고 분석됐다.
◇ 장기간 은밀 활동으로 고가치 정보 탈취
UNC5221 그룹의 가장 주목할 만한 특징은 장기간에 걸친 은밀한 활동이다. 이들은 VM웨어 환경에서 특히 정교한 기법을 구사했는데, vCenter 서버에 악성 Java Servlet 필터 ‘BRICKSTEAL’을 설치해 로그인 자격 증명을 탈취했다. 이 필터는 메모리에서만 작동해 재시작 없이도 설치가 가능하며 매우 은밀한 특성을 보였다고 보고됐다.
또한 공격자들은 도메인 컨트롤러, SSO ID 제공업체, 비밀 저장소 등 핵심 시스템의 Windows 서버 VM을 복제하는 기법을 사용했다. VM 복제를 통해 공격자들은 파일시스템을 마운트하고 Active Directory 도메인 서비스 데이터베이스(ntds.dit) 등의 핵심 파일을 추출할 수 있었으며, 복제된 VM은 전원이 켜지지 않기 때문에 설치된 보안 도구들이 실행되지 않아 탐지를 피할 수 있었다는 점이 특징이었다.
이들의 최종 목적은 주요 인물들의 이메일 접근이었다. Microsoft Entra ID Enterprise Application에서 ‘mail.read’ 또는 ‘full_access_as_app’ 권한을 악용해 모든 사서함에 접근할 수 있었으며, 개발자와 시스템 관리자뿐만 아니라 중국의 경제적, 스파이 활동 관심사와 일치하는 업무에 관련된 개인들의 사서함을 집중 표적으로 삼았다.
◇ 포괄적 대응 전략과 향후 전망
찰스 카르마칼 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 “BRICKSTORM 백도어를 사용하는 공격은 정교한 기술을 사용해 고급 엔터프라이즈 보안 방어 체계를 회피하고, 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협으로 간주된다”며 경각심을 촉구했다.
맨디언트는 조직들이 어플라이언스에 대한 위협 모델을 재평가하고 적극적인 헌팅 활동을 실시할 것을 권고했다. 특히 EDR 솔루션이 설치되지 않은 시스템에 BRICKSTORM을 포함한 백도어가 잠복해 있는지 적극적으로 탐지해야 한다고 강조했다.
구체적인 대응 방안으로는 △어플라이언스를 포함한 전체 자산 목록 작성 및 업데이트 △YARA 규칙을 활용한 BRICKSTORM 바이너리 스캔 △어플라이언스의 인터넷 트래픽 모니터링 △Windows 시스템에 대한 어플라이언스 접근 감시 △자격 증명 및 기밀 정보 접근 추적 등이 제시됐다.
최근 BRICKSTORM과 관련된 침입 활동은 지정학적 스파이 활동, 액세스 확보 작전, 제로데이 익스플로잇 개발을 위한 지적 재산(IP) 탈취 등 다양한 목적을 나타내는 것으로 보인다는 분석이다. 특히 미국 법률 분야에 대한 표적 공격은 미국의 국가 안보 및 국제 무역 관련 정보 수집이 목적인 것으로 파악되고 있다.