Mandiant에 따르면, 중국의 위협요소로 의심되는 UNC3886는 공개적으로 이용 가능한 오픈소스 루트킷인 'Reptile'과 'Medusa'를 사용하여 VMware ESXi 가상 머신에 숨어있습니다. 이를 통해 자격증명 도용, 명령 실행, 그리고 수평 이동을 수행하고 있습니다. 이 위협요소는 정부 기관을 공격하는 것으로 알려져 있으며, 이를 위해 Fortinet 제로데이와 두 개의 VMware 제로데이 취약점을 이용하고 있습니다.
UNC3886는 가상 머신에서 루트킷을 사용하여 장기간 지속되고 회피하는 것으로 밝혀졌습니다. 또한, 'Mopsled'와 'Riflespine'과 같은 맞춤형 악성 소프트웨어 도구를 사용하여 GitHub와 Google Drive를 통해 명령 및 제어를 수행하고 있습니다. 최근 UNC3886의 공격 대상은 북미, 동남아, 오세아니아의 조직이며, 유럽, 아프리카, 아시아의 다른 지역에서 추가적인 피해자가 확인되었습니다. 공격 대상 산업에는 정부, 통신, 기술, 항공우주, 방위, 에너지 및 유틸리티 부문이 포함되어 있습니다.
루트킷은 악성 소프트웨어로, 위협요소가 운영 체제의 사용자에게 보이지 않는 프로그램을 실행하고 수정할 수 있게 해줍니다. 이러한 유형의 악성 소프트웨어는 위협요소가 악의적인 행동을 하면서 그들의 존재를 숨기는 데 도움이 됩니다. UNC3886는 루트킷을 수정하여 다른 배포를 위한 고유한 키워드를 사용하고, 루트킷의 런처와 시작 스크립트를 변경하여 지속성과 은밀성을 높이고 있습니다.
요약
- 중국의 위협요소로 의심되는 UNC3886는 오픈소스 루트킷 'Reptile'과 'Medusa'를 사용하여 VMware ESXi 가상 머신에 숨어있다.
- UNC3886는 가상 머신에서 루트킷을 사용하여 장기간 지속되고 회피하며, 'Mopsled'와 'Riflespine'과 같은 맞춤형 악성 소프트웨어 도구를 사용한다.
- 최근 UNC3886의 공격 대상은 북미, 동남아, 오세아니아의 조직이며, 유럽, 아프리카, 아시아의 다른 지역에서 추가적인 피해자가 확인되었다.
- 루트킷은 악성 소프트웨어로, 위협요소가 운영 체제의 사용자에게 보이지 않는 프로그램을 실행하고 수정할 수 있게 해준다.
- UNC3886는 루트킷을 수정하여 다른 배포를 위한 고유한 키워드를 사용하고, 루트킷의 런처와 시작 스크립트를 변경하여 지속성과 은밀성을 높이고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.