맨디언트가 최근 바라쿠다네트웍스(Barracuda Networks)의 이메일 보안 솔루션의 제로데이 취약점을 악용한 중국 공격 그룹 UNC4841과 관련해 후속 보고서를 발표했다.

이번 후속 보고서는 취약점(CVE-2023-2868) 공격의 피해 조직에게서 관찰된 UNC4841 공격에 대한 포괄적인 타임라인을 제공한다. 또한, ▲6월 맨디언트 UNC4841 보고서 발표 이후 추가로 발견된 UNC4841의 새로운 TTPs ▲기존 탈취했던 우선 목표 조직에 새로운 멀웨어를 배포한 시기와 이유에 대한 추가 인사이트 ▲UNC4841이 캠페인이 손상될 경우를 예상하고 사전에 툴을 만들어 고가치 타겟에 계속 접근할 수 있도록 컨틴전시 플랜을 준비했다고 추측되는 새로운 세부 정보 등을 담고 있다.

이번 UNC4841 공격 그룹 후속 보고서의 주요 내용이다. 

• 2023년 5월 20일, CVE-2023-2868용 패치가 배포된 이후 맨디언트와 바라쿠다네트웍스는 이메일 보안 솔루션(이하 ESG) 어플라이언스의 제로데이 취약점을 활용한 공격을 추가로 발견하지 못함.

• 바라쿠다 SaaS 이메일 솔루션을 포함한 다른 바라쿠다 솔루션은 해당 취약점의 영향을 받지 않음. 

• UNC4811은 우선 순위가 높은 피해 조직 일부의 시스템 복원 노력에 대한 대응으로 자신들의 액세스를 유지하기 위해 백도어 뎁스차지(DEPTHCHARGE)와 같은 추가 멀웨어를 시스템에 배포함. 

• 손상된 어플라이언스의 약 2.64%에 뎁스차지가 배포됨. 피해 조직은 미국 및 외국 정부 기관과 첨단 기술 및 정보 기술 공급업체를 포함함. UNC4841은 주로 스킵잭(SKIPJACK)을 사용하는 정부 및 기술 조직을 대상으로 함.

• UNC4841이 뎁스차지를 배포했다는 최초의 증거는 바라쿠다 최초 발표로부터 약 1주일 후인 2023년 5월 30일에 확인됨. UNC4841는 RMA가 권장되는 대응 조치라는 바라쿠다의 발표에 따라 뎁스차지를 신속하게 배치해 목표 대상을 선택함.

• 이러한 능력과 배포는 UNC4841이 고가치의 목표를 지속적으로 겨냥할 수 있도록 설계된 툴과 TTPs로 피해 조직의 복구 작업을 예상하고 이를 준비했음을 시사함.

맨디언트 측은 “이번 공격에 대한 전 세계적인 대응에도 불구하고, 이는 기회주의적 작전이 아니었으며 목표 네트워크에 대한 액세스를 잠재적으로 방해할 수 있는 우발 상황을 예측하고 준비하기 위한 적절한 계획과 자금을 가지고 있었다는 것을 암시한다”고 전했다.

또한 맨디언트는 네트워크 방어 담당자가 UNC4841에 대해 계속 조치를 취하고 있으며 보안 커뮤니티에 이들의 활동이 추가로 노출됨에 따라 UNC4841이 계속해서 TTPs를 변경하고 툴킷을 수정할 것으로 예측된다며, UNC4841이 향후 스파이 캠페인에서 엣지 디바이스를 계속해서 목표로 삼을 것으로 예상하고 있다고 말했다.

구글 클라우드 맨디언트 수석 침해사고 대응(Incident Response, IR) 컨설턴트 오스틴 라슨(Austin Larsen)은 “이번 공격을 통해 방대한 자원과 자금, 세계적인 스파이 캠페인을 규모에 맞게 성공적으로 수행할 수 있는 기술적 능력을 자랑하는 강력한 적과 경쟁하고 있음이 분명해졌다. 중국 연계 사이버 스파이 공격자들은 그들의 작전이 더욱 은밀하고 효과적이며 더 강력한 영향력을 가질 수 있도록 개선하고 있다”고 설명했다.