2025년 4월, 벨기에 보안 스타트업 Nviso는
중국 정부 연계 위협 그룹 UNC5221이 유럽 내 전략 산업 조직에 침투한
신형 백도어 Brickstorm의 Windows 기반 변종을 발견했습니다.
이 악성코드는 수년간 탐지되지 않은 채 내부망에서 활동해왔으며,
이전에는 MITRE 침해 사건 및 VMware vCenter Linux 환경에서 발견된 적이 있었지만,
윈도우 기반의 구버전이 더 오래전부터 사용된 것으로 보인다는 것이 이번 분석의 핵심입니다.
🧠 Brickstorm 백도어의 주요 기능
Brickstorm은 위협 그룹 UNC5221의 정찰 및 침투 활동을 위한 전용 백도어로,
Windows와 Linux 환경에서 각각 아래와 같은 기능을 수행합니다.
🧭 1. 파일 시스템 관리자 기능
- 파일 및 폴더 열람
- 임의 파일 생성 및 삭제
- 탐지 회피를 위한 경량화된 인터페이스 제공
🌐 2. 네트워크 터널링 기능
- 내부망에서 외부망 또는 C2 서버까지의 숨겨진 연결 통로 구축
- SMB, RDP 등 정식 프로토콜을 통한 명령 실행 우회
- DNS over HTTPS(DoH)를 통한 C2 서버 연결 은폐
💡 Windows 버전, 오히려 더 오래전부터 활동?
Nviso 조사에 따르면:
- Linux 기반 Brickstorm: 2023년 중반부터 사용된 비교적 최신 버전
- Windows 기반 Brickstorm: 최소 2022년부터 사용, 더 오래됐을 가능성 있음
- Linux 버전은 오히려 Windows 버전의 진화형
“이렇게 오래된 샘플이 지금까지 탐지되지 않은 점은, 공격자의 정교함을 보여주는 증거입니다.”
– Michel Coene, Nviso 위협 인텔리전스 책임자
🎭 왜 Windows 버전에는 명령 실행 기능이 없을까?
Nviso는 Windows 기반 Brickstorm에서 직접적인 명령 실행 기능(command execution)이 제거된 점에 주목했습니다.
그 이유는?
- 보안 솔루션 탐지 회피 목적
- 대신, 터널링 + 유효한 사용자 계정 조합으로
RDP, SMB 등의 합법적 경로를 통해 유사한 효과를 달성
즉, 공격자는 기능을 줄여 탐지를 피하고, 터널링을 통해 본 목적을 달성하는 전략을 취한 것입니다.
🧬 정교한 회피 기법 요약
| 기술 | 설명 |
| 네트워크 터널링 | 내부망 우회 통신, lateral movement |
| DNS over HTTPS (DoH) | 일반적인 DNS 탐지 우회 |
| C2 서버 클라우드 위장 | 정상적인 클라우드 인프라를 악용해 정탐 회피 |
| 명령 실행 기능 제거 | 탐지 회피 목적의 기능 생략 |
| 파일리스 활동 | 일부 프로세스 메모리 내에서만 작동 → 탐지 어려움 |
🕵️ 피해 대상은 누구?
- 유럽 내 전략 산업군
- 방위 산업
- 에너지 분야
- 기술 연구기관
- 중국의 국가적 이해관계가 얽힌 대상
UNC5221은 과거에도 아시아-태평양 지역 NGO, 정부 조직,
그리고 MITRE 침해 사건과 같은 고난도 사이버 작전에 관여한 것으로 알려져 있습니다.
🛡 대응 전략: 지금 바로 해야 할 일
✅ 1. DNS over HTTPS 차단
- Brickstorm은 DoH를 통해 탐지를 우회
- network policy 또는 방화벽 설정을 통해 주요 DoH 공급자 차단 (Cloudflare, Google 등)
✅ 2. TLS 이중 암호화 세션 탐지
- 터널 내 암호화 통신(TLS within TLS)을 탐지하도록
TLS 검사 솔루션 정책 강화
✅ 3. RDP, SMB 등 내부 접근 로그 상시 감사
- 일반 사용자 계정으로 내부 이동(lateral movement) 시도 탐지
- 네트워크 터널링 경로 추적
✅ 4. 클라우드 기반 C2 탐지 룰 적용
- 정식 도메인을 사용하는 C2 활동 탐지 위해
DNS 질의 이상 징후 기반 탐지 룰 설정
✅ 5. 보안 침해 지표(IOC) 정기 스캔
- Nviso 및 위협 인텔리전스 벤더에서 제공하는Brickstorm 관련 IOC, YARA 룰 주기적 반영
📚 결론: 정교함과 침묵으로 은폐된 '은신형 백도어'
UNC5221의 Brickstorm 백도어는 고급 기능이나 파괴적 특성을 내세우기보다는
정교한 은폐와 장기 침투에 초점을 맞춘 지능형 지속 위협(APT) 유형입니다.
“소리 없이 파고들어 내부망을 장악하고, 조용히 데이터를 외부로 유출하는 것”
이것이 Brickstorm의 전략입니다.
APT 공격을 방어하기 위한 핵심은 '탐지'가 아닌 '가시성 확보'에 달려 있습니다.
'CyberSecurity > 해외🌍' 카테고리의 다른 글
| 🏥 의료기관 노린 랜섬웨어 공격, 2025년에도 계속된다! (0) | 2025.04.23 |
|---|---|
| 🧨 타이완 핵심 산업 노리는 ‘CrazyHunter’ 랜섬웨어 그룹 (1) | 2025.04.17 |
| 🍷 APT29의 와인 초대장, 다시 시작됐다! (1) | 2025.04.17 |
| Prodaft의 'SYS 프로그램'이 가져올 사이버 인텔리전스 혁신 (2) | 2025.04.15 |
| 💸 무역 전쟁이 부른 사이버 전쟁? 트럼프 관세 정책의 또 다른 그림자 (0) | 2025.04.10 |