주니퍼 네트워크 라우터, 중국 해커의 새로운 표적이 되다: UNC3886의 위협

최근 Mandiant의 조사 결과, 중국과 연계된 해킹 그룹 UNC3886이 주니퍼 네트워크 라우터를 집중적으로 공격하고 있다는 사실이 밝혀졌습니다. 이들은 다양한 변종의 백도어 악성 코드를 사용하여 미국과 아시아의 통신, 방위, 기술 기업을 표적으로 삼고 있습니다. 이번 공격은 네트워크 보안에 대한 심각한 위협으로, 관련 기업들은 즉각적인 대응이 필요합니다.

UNC3886, 주니퍼 네트워크를 노리다

Mandiant는 2024년 중반부터 UNC3886의 악성 활동을 포착했으며, 이들이 과거 VMware, Ivanti VPN 등 다양한 제품을 공격했던 이력이 있음을 확인했습니다. UNC3886은 백도어 및 악성 코드를 사용하여 중요한 시스템에 침투하는 데 능숙하며, 이번 주니퍼 네트워크 공격에서도 정교한 기술을 선보였습니다.

Junos OS 우회: Veriexec의 허점

UNC3886은 주니퍼 네트워크 라우터의 운영체제인 Junos OS에 침투하기 위해 Veriexec(Verified Exec)를 우회하는 방법을 사용했습니다. Veriexec은 운영체제를 무단 코드로부터 보호하는 커널 기반 파일 무결성 하위 시스템입니다. 하지만 UNC3886은 합법적인 프로세스의 메모리에 악성 코드를 삽입하여 이 보호 장치를 무력화했습니다. 이는 공격자들이 주니퍼 네트워크 시스템에 대한 깊은 이해를 가지고 있음을 보여줍니다.

TINYSHELL 변종 악성 코드의 위협

UNC3886은 여섯 가지의 TINYSHELL 백도어 악성 코드 변종을 사용하여 공격을 수행했습니다. 이 악성 코드들은 모두 동일한 핵심 백도어 기능을 가지고 있지만, 활성화 방법과 운영체제별 특정 기능에서 차이를 보입니다. 이러한 변종 악성 코드는 공격자들이 다양한 환경에 적응하고 탐지를 회피하기 위해 노력하고 있음을 시사합니다.

대응 방안: 최신 이미지 업그레이드 및 JMRT 활용

Mandiant는 주니퍼 네트워크 사용자들이 최신 이미지로 장비를 업그레이드할 것을 권고합니다. 최신 이미지에는 완화 기능과 업데이트된 주니퍼 악성 코드 제거 도구(JMRT) 시그니처가 포함되어 있어 공격을 방어하는 데 도움이 됩니다. 업그레이드 후에는 JMRT를 활성화하여 엔드포인트의 무결성을 검사하는 것이 중요합니다.

Volt Typhoon 및 Salt Typhoon과의 관계

Mandiant는 이번 공격 활동이 Volt Typhoon 또는 Salt Typhoon으로 알려진 다른 중국 해킹 그룹과 기술적으로 겹치는 부분이 없다고 밝혔습니다. 이는 UNC3886, Volt Typhoon, Salt Typhoon이 서로 다른 개체일 수 있지만, 동일한 우산 아래에서 협력하고 있을 가능성을 시사합니다.

결론

이번 주니퍼 네트워크 라우터 공격은 중국 해킹 그룹의 사이버 공격이 더욱 정교해지고 있음을 보여주는 사례입니다. 관련 기업들은 Mandiant의 보고서를 주의 깊게 검토하고, 즉각적인 보안 강화 조치를 취해야 합니다. 꾸준한 보안 업데이트와 시스템 점검을 통해 사이버 위협으로부터 자산을 보호하는 것이 중요합니다.