Loading...
반응형

- 20255대규모 침해사고와 공격 기법, 대응 전략까지!

안녕하세요!
오늘은 최근 세계적으로 파장을 일으킨 Ivanti Endpoint Manager Mobile(이하 EPMM)
제로데이 취약점과 실제 악용 사례, 그리고 공격자가 사용한 고급 공격 기법까지 쉽고 자세하게 설명해 드릴게요. 😎
보안 실무자는 물론, 모바일 기기 관리 솔루션을 운영하는 분이라면 읽어보셔야 내용입니다.

1. 사건 개요와 무엇이 문제였나? 🕵️‍♂️

2025515일, Ivanti사는 EPMM 12.5.0.0 이전 버전에서 매우 심각한
가지 취약점(CVE-2025-4427, CVE-2025-4428)발견되어 패치를 발표했습니다.
취약점들은 연쇄적으로 악용될 경우 인증 없이 원격 코드 실행(RCE)가능한 치명적인 이슈였어요.
실제로 발표 직후부터 인터넷에 노출된 Ivanti EPMM 서버를 대상으로 실제 공격대규모로 관측됐고,
유럽·북미·아시아 주요 공공기관과 금융·항공·헬스케어 다양한 산업에서 피해가 발생했습니다.

특히, 이번 공격은 단순 해킹이 아니라 중국 연계 사이버 첩보조직(UNC5221)체계적인 공격으로 확인되어 더욱 충격을 주었죠. 그룹은 이미 여러 보안 솔루션의 제로데이 취약점을 악용한 전력이 있어, 업계에서는 항상 주목하는 공격 집단입니다.

2. 공격 흐름 한눈에 보기 👀

1) 초기 침투 – 인증 없는 RCE

  • 공격자는 /mifs/rs/api/v2/ 엔드포인트의 ?format= 파라미터 취약점을 악용해 HTTP GET 요청으로 악성 명령을 주입합니다.
  • Java리플렉션(Reflection) 기법으로 "java.lang.Runtime.getRuntime().exec()"호출, 시스템 명령을 바로 실행시켜 버립니다.
  • 방식으로 리버스 외부에서 서버를 직접 제어할 있는 통로가 열립니다.
${"".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null).exec("REMOTE-COMMAND").waitFor()}

2) 명령 결과 즉시 수집

  • 공격자는 명령 실행 결과를 실시간으로 받아보는 트릭도 사용했습니다.
  • JavaScanner 객체를 활용해, 실행 결과를 곧바로 읽어올 있도록 했어요.
  • C2(명령제어) 통신이 웹서버에서 바로 되는 셈입니다.

3) 지속적 접근권 확보 – KrustyLoader

  • 최초 침투에 성공한 뒤에는 KrustyLoader라는 악성코드를 설치합니다.
  • 과정에서 공개 AWS S3 버킷에서 악성 바이너리를 wget, curl 등으로 내려받아 /tmp/1 등에 저장, 바로 실행합니다.
  • KrustyLoaderAES 암호화된 Sliver 백도어다시 내려받아 메모리에서만 동작하게 하므로 탐지가 매우 어려워집니다.
  • 백도어 내부 URLAES/XOR 등으로 다중 암호화되어 분석을 어렵게 만들었어요.

4) MySQL DB 탈취 내부 확장

  • Ivanti EPMM에는 시스템 폴더(.mifpp 등)DB 계정정보가 평문 저장되어 있습니다.
  • 공격자는 파일로 DB접근해, 모바일 기기 메타정보(IMEI, 위치, LDAP, Office365 토큰 등)몽땅 가져갑니다.
  • 심지어 Office365 연동 토큰, AD 정보까지 모두 탈취해 클라우드 계정 탈취 추가 공격가능합니다.
  • 여러 공격에서는 dpaste 등에서 배포한 자동화 bash 스크립트로 SQL쿼리, 토큰 덤프, 메모리 분석(jcmd)까지 번에 처리했어요.

5) 내부 네트워크 침투(FRP, 리버스 프록시)

  • FRP(Fast Reverse Proxy)라는 오픈소스 도구를 심어, 내부망과의 리버스 프록시 터널을 구축합니다.
  • 이로 인해 공격자는 내부망을 마치 현장처럼 탐색할 있으며, nmap 등으로 네트워크 구조를 파악한 후 **횡적 이동(lateral movement)**까지 진행했습니다.

6) 실시간 탐지 회피와 데이터 은닉

  • 시스템 정보, 네트워크 정보, 크론탭, 계정정보 등을 모두 임시 jpg파일로 저장 → 곧바로 삭제하여 로그 추적을 어렵게 만듭니다.
  • 다수의 AWS S3, 중국 기반 IP 인프라를 회전 사용, 탐지/차단을 지속적으로 우회합니다.

3. 실제 피해사례 공격자 분석 🔍

▶️ 피해 업종과 특징

  • 유럽, 북미, 아시아(한국 포함) 주요 정부기관, 통신사, 제조사, 금융, 헬스케어, 항공 다양한 산업에서 피해 발생
  • 공통점: 기업 공공의 모바일 디바이스 관리를 Ivanti EPMM으로 통합 관리 중인 조직
  • 노출 시: 실시간 디바이스 위치, 인증토큰, 클라우드 계정, 내부 인증서 번에 탈취됨

▶️ 공격자(UNC5221) 특징

  • 과거 SAP NetWeaver, Fortinet 엔터프라이즈 솔루션 제로데이 공격 전적 보유
  • 단일 취약점이 아니라, 여러 개의 취약점/설정오류를 번에 연쇄적으로 악용
  • KrustyLoader, Sliver, Auto-Color 여러 백도어와 고도화된 자체 악성코드 사용
  • 공격 인프라(IP, AWS S3, 도메인 등) 재사용 지속적 업그레이드

4. 보안팀을 위한 탐지/대응 전략 🛡️

1) 로그 모니터링 & 정규식 활용

  • Tomcat access-log (/mi/tomcat/logs/access-logs.*)에서 format 파라미터를 타깃으로 RCE 시그니처 검색
     
    format=.*?exec(?:%28|\()(['"]|%27)(.+?)\1
  • 의심스러운 명령 주입 패턴, base64, 리플렉션 기반 Java 명령 탐지 강화

2) 파일시스템 감시

  • /tmp, /var/tmp, /mi/tomcat/webapps/mifs/images/ 등에서 실행 파일, 스크립트 생성을 실시간 감시
  • wget, curl, fetch 등으로 내려받는 패턴 모니터링
  • Web 서비스 계정(Tomcat, Java)해당 경로에 파일 생성/실행시 알림

3) 네트워크 & 인프라 보안

  • AWS S3, 중국/러시아 IP 접속 시도, 리버스 프록시 터널(프록시툴) 설치 감지
  • DNSLog 시스템(ns1.cybertunnel[.]run 등) 활용 시도 차단

4) 최신 패치와 계정 관리

  • Ivanti 공식 패치 즉시 적용
  • DB, 시스템 계정정보 평문 저장 여부 점검 → 반드시 암호화/권한 최소화
  • 내부 네트워크 분리(망분리), 최소권한, AD/클라우드 토큰 주기적 무효화

5. IOC(침해지표)탐지 강화하기 🔎

주요 악성 IP/도메인/샘플:

  • IP:
    • 103.244.88[.]125 (FRP 도구 전파)
    • 27.25.148[.]183 (중국, NetWeaver 공격에도 활용됨)
    • 146.70.87.67:45020 (Auto-Color 백도어 C2)
    • 124.223.202[.]90 (Yak Bridge/ DNSLog 운영)
  • 악성 S3 버킷:
    • openrbf.s3.amazonaws[.]com, tnegadge.s3.amazonaws[.]com, fconnect.s3.amazonaws[.]com
  • 해시:
    • KrustyLoader: 44c4a0d18263..., 7a4e0eb5fba...
    • Sliver: 29ae4fa86329...
    • 악성 bash script: 64764ffe4b1e..., b422645db18e...
  • 도구:
    • FRP 바이너리, Auto-Color 백도어, KrustyLoader, Sliver implant

6. 마무리 실무자 조언 ✍️

이번 Ivanti EPMM 제로데이 사태는 단일 솔루션 관리 환경이 무너질 때,
조직 전체가 번에 위험에 노출될 있음을 보여주는 대표적 사례입니다.
공격자는 최신 취약점 정보, 시스템 구조,
자동화 도구를 모두 활용해 조직의 핵심 데이터와 권한을 탈취합니다.

기억하세요!

  • 보안 솔루션, MDM 중앙집중형 관리 시스템취약점은 반드시 신속하게 점검·패치 필요
  • 기본 계정정보, DB 정보, 인증토큰 등은 무조건 암호화하고 최소 권한으로 분리
  • 로그/행위기반 탐지자동화된 IOC 대응 체계 구축은 필수
  • 공격자가 남기는 흔적(IP, 파일, 도메인, 해시 등)IOC꾸준히 업데이트
728x90
반응형
저작자표시 동일조건 (새창열림)

'CyberSecurity > Security🔐' 카테고리의 다른 글

중국과 북한 APT, 왜 요즘 사이버 공격의 절반을 차지하나? 🌏💻  (6) 2025.05.22
Operation RoundPress: 러시아 APT28이 겨냥한 웹메일 해킹, 어떻게 막을 수 있을까? 🚨  (1) 2025.05.22
🚨 npm 생태계를 노린 초정교한 악성코드 캠페인 – os-info-checker-es6 사태의 모든 것  (3) 2025.05.19
🚨 Eventin 워드프레스 플러그인 심각한 보안 취약점!  (1) 2025.05.18
🕵️‍♂️ 러시아 APT28, 전세계 정부·방산 메일 서버 XSS 취약점 집중 공격!  (1) 2025.05.18

티스토리툴바