구글클라우드의 보안조직인 맨디언트 컨설팅은 엔드포인트 탐지 및 대응(EDR) 에이전트가 설치되지 않은 어플라이언스에 브릭스톰(BRICKSTORM) 백도어를 설치하는 다수 공격에 대응했다고 26일 밝혔다.
해당 공격은 UNC5221 및 중국 연계 위협 행위자들의 소행으로 추정되며 고급 포렌식 회피 및 멀웨어 변형 기법을 사용해 평균 393일동안 탐지되지 않은 상태로 지속했다. 이런 정교한 공격의 목적은 피해자의 환경에 지속적으로 액세스를 유지해 가치가 높은 지적 재산(IP) 및 민감한 데이터를 탈취하는 것이다.
이번 공격에서는 핵심 인프라를 겨냥한 정교한 사이버 공격이 확인됐다. 이번 공격은 법률회사·서비스형 소프트웨어(SaaS) 제공업체·기술기업 등 민감한 데이터를 보유한 필수 서비스 제공자를 표적으로 삼아 장기간 은밀히 접근 권한을 확보하고 정보·지적재산권(IP)을 탈취하려는 정황을 보였다.
조사 결과 위협행위자들은 VM웨어 v센터 서버·ESX 호스트 등 새로운 장치 플랫폼을 악용하고, 메모리 내 변조·맞춤형 드로퍼·난독화 기법 등을 동원해 탐지를 회피한 뒤 시작 스크립트를 변조하는 방식으로 백도어를 장기간 운영한 것으로 파악됐다. 특히 미국 법률 분야를 겨냥한 공격은 국가안보 및 국제무역 관련 정보를 수집하려는 지정학적 스파이 활동의 성격을 띤다는 점도 지적됐다.
찰스 카르마칼 구글클라우드 맨디언트 컨설팅 최고기술책임자(CTO)는 "브릭스톰 백도어를 사용하는 공격은 고급 엔터프라이즈 보안 방어 체계를 회피하면서 고가치 표적을 집중 공격하는 특성이 있어 조직에 중대한 위협"이라며 "UNC5221이 확보한 접근권한은 피해 조직을 넘어 그들의 SaaS 고객으로 확장되거나 제로데이 취약점 발굴로 이어질 수 있다"고 경고했다.