맨디언트가 최근 VM웨어의 하이퍼바이저인 ESXi의 제로데이 취약점(CVE-2023-20867)을 악용한 중국 사이버 스파이 그룹 UNC3886과 관련해 새로운 보고서를 발표했다.

해당 보고서는 조직이 현재 배포 중인 특정 멀웨어나 실행 중인 명령에 관계없이 이번 제로데이 취약점 공격의 경로를 탐지하고 대응할 수 있도록 지원하는 전술과 방법론을 강조하는 데 중점을 두고 있다.

이번 맨디언트 보고서의 간략한 개요는 다음과 같다.

• 공격자는 이 취약점을 통해 게스트 VM 관리자나 루트 암호 없이 하이퍼바이저에서 게스트 VM에 대한 명령을 실행할 수 있다.

• 포렌식 관점에서 볼 때, 이러한 과정은 합법적이고 디지털 서명된 윈도우 게스트 VM의 vmtoolsd.exe 등의 VM웨어 실행 파일에서 진행된다.

• UNC3886는 또한 VMCI 소켓을 남용한다. 이들은 하이퍼바이저에 VMCI 백도어를 구축한 후, 네트워크 연결 또는 VLAN 구성에 관계없이 VMCI 백도어가 실행되는 모든 게스트 시스템에서 직접 백도어에 다시 연결할 수 있었다. 또한 공격자가 백도어를 통해 ESXI 호스트에 다시 액세스하면 명령을 실행하거나 다른 게스트 VM에게 파일을 전송하거나 받을 수 있었다. 

• VM웨어 하이퍼바이저를 위한 EDR 솔루션이 없고 대부분의 조직은 이러한 시스템에서의 보안 위협 증거를 적극적으로 찾지 않기 때문에 이번 위협 조사는 매우 중요한 의의를 갖고 있다.

이번 무브잇 제로데이 취약점 공격과 관련해 구글 클라우드 맨디언트 컨설팅 최고기술책임자(CTO) 찰스 카마칼(Charles Carmakal)은 “UNC3886은 오늘날 맨디언트가 확인한 가장 영리한 중국 스파이 공격자 중 하나다. 이들은 강력한 운영 보안을 갖추고 있으며 피해자 환경에서 탐지하기가 매우 어렵다. UNC3886은 자신들의 스파이 활동 기술을 설명하는 맨디언트 블로그를 모니터링하고 탐지를 피하기 위해 신속하게 재설계한다. 또한, 엔드포인트 탐지 및 대응(EDR) 솔루션을 지원하지 않는 피해자 시스템으로 멀웨어 배포 대상을 한정해 조직에서 침입을 탐지하기가 매우 어렵다. 이처럼 이들은 성숙한 보안 프로그램을 구축해 국방, 기술 및 통신 조직에 성공적으로 침투했다”고 설명했다. 

이번 보고서는 아래 링크에서 확인해볼 수 있다. 

https://www.mandiant.com/resources/blog/vmware-esxi-zero-day-bypass