- 2025년 5월 대규모 침해사고와 공격 기법, 대응 전략까지!
안녕하세요!
오늘은 최근 전 세계적으로 큰 파장을 일으킨 Ivanti Endpoint Manager Mobile(이하 EPMM)의
제로데이 취약점과 실제 악용 사례, 그리고 공격자가 사용한 고급 공격 기법까지 쉽고 자세하게 설명해 드릴게요. 😎
보안 실무자는 물론, 모바일 기기 관리 솔루션을 운영하는 분이라면 꼭 한 번 읽어보셔야 할 내용입니다.
1. 사건 개요와 무엇이 문제였나? 🕵️♂️
2025년 5월 15일, Ivanti사는 EPMM 12.5.0.0 및 이전 버전에서 매우 심각한
두 가지 취약점(CVE-2025-4427, CVE-2025-4428)이 발견되어 패치를 발표했습니다.
이 취약점들은 연쇄적으로 악용될 경우 인증 없이 원격 코드 실행(RCE)이 가능한 치명적인 이슈였어요.
실제로 이 발표 직후부터 인터넷에 노출된 Ivanti EPMM 서버를 대상으로 실제 공격이 대규모로 관측됐고,
유럽·북미·아시아 주요 공공기관과 금융·항공·헬스케어 등 다양한 산업에서 피해가 발생했습니다.
특히, 이번 공격은 단순 해킹이 아니라 중국 연계 사이버 첩보조직(UNC5221)의 체계적인 공격으로 확인되어 더욱 충격을 주었죠. 이 그룹은 이미 여러 보안 솔루션의 제로데이 취약점을 악용한 전력이 있어, 업계에서는 항상 주목하는 공격 집단입니다.
2. 공격 흐름 한눈에 보기 👀
1) 초기 침투 – 인증 없는 RCE
- 공격자는 /mifs/rs/api/v2/ 엔드포인트의 ?format= 파라미터 취약점을 악용해 HTTP GET 요청으로 악성 명령을 주입합니다.
- 이 때 Java의 리플렉션(Reflection) 기법으로 "java.lang.Runtime.getRuntime().exec()"을 호출, 시스템 명령을 바로 실행시켜 버립니다.
- 이 방식으로 리버스 쉘 등 외부에서 서버를 직접 제어할 수 있는 통로가 열립니다.
${"".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null).exec("REMOTE-COMMAND").waitFor()}
2) 명령 결과 즉시 수집
- 공격자는 명령 실행 결과를 실시간으로 받아보는 트릭도 사용했습니다.
- Java의 Scanner 객체를 활용해, 실행 결과를 곧바로 읽어올 수 있도록 했어요.
- C2(명령제어) 통신이 웹서버에서 바로 되는 셈입니다.
3) 지속적 접근권 확보 – KrustyLoader
- 최초 침투에 성공한 뒤에는 KrustyLoader라는 악성코드를 설치합니다.
- 이 과정에서 공개 AWS S3 버킷에서 악성 바이너리를 wget, curl 등으로 내려받아 /tmp/1 등에 저장, 바로 실행합니다.
- KrustyLoader는 AES 암호화된 Sliver 백도어를 다시 내려받아 메모리에서만 동작하게 하므로 탐지가 매우 어려워집니다.
- 백도어 내부 URL도 AES/XOR 등으로 다중 암호화되어 분석을 어렵게 만들었어요.
4) MySQL DB 탈취 및 내부 확장
- Ivanti EPMM에는 시스템 폴더(.mifpp 등)에 DB 계정정보가 평문 저장되어 있습니다.
- 공격자는 이 파일로 DB에 접근해, 모바일 기기 메타정보(IMEI, 위치, LDAP, Office365 토큰 등)를 몽땅 가져갑니다.
- 심지어 Office365 연동 토큰, AD 정보까지 모두 탈취해 클라우드 계정 탈취 및 추가 공격도 가능합니다.
- 여러 공격에서는 dpaste 등에서 배포한 자동화 bash 스크립트로 SQL쿼리, 토큰 덤프, 메모리 분석(jcmd)까지 한 번에 처리했어요.
5) 내부 네트워크 침투(FRP, 리버스 프록시)
- FRP(Fast Reverse Proxy)라는 오픈소스 도구를 심어, 내부망과의 리버스 프록시 터널을 구축합니다.
- 이로 인해 공격자는 내부망을 마치 현장처럼 탐색할 수 있으며, nmap 등으로 네트워크 구조를 파악한 후 **횡적 이동(lateral movement)**까지 진행했습니다.
6) 실시간 탐지 회피와 데이터 은닉
- 시스템 정보, 네트워크 정보, 크론탭, 계정정보 등을 모두 임시 jpg파일로 저장 → 곧바로 삭제하여 로그 추적을 어렵게 만듭니다.
- 다수의 AWS S3, 중국 기반 IP 등 인프라를 회전 사용, 탐지/차단을 지속적으로 우회합니다.
3. 실제 피해사례 및 공격자 분석 🔍
▶️ 피해 업종과 특징
- 유럽, 북미, 아시아(한국 포함) 주요 정부기관, 통신사, 제조사, 금융, 헬스케어, 항공 등 다양한 산업에서 피해 발생
- 공통점: 기업 및 공공의 모바일 디바이스 관리를 Ivanti EPMM으로 통합 관리 중인 조직
- 노출 시: 실시간 디바이스 위치, 인증토큰, 클라우드 계정, 내부 인증서 등이 한 번에 탈취됨
▶️ 공격자(UNC5221) 특징
- 과거 SAP NetWeaver, Fortinet 등 엔터프라이즈 솔루션 제로데이 공격 전적 보유
- 단일 취약점이 아니라, 여러 개의 취약점/설정오류를 한 번에 연쇄적으로 악용
- KrustyLoader, Sliver, Auto-Color 등 여러 백도어와 고도화된 자체 악성코드 사용
- 공격 인프라(IP, AWS S3, 도메인 등) 재사용 및 지속적 업그레이드
4. 보안팀을 위한 탐지/대응 전략 🛡️
1) 로그 모니터링 & 정규식 활용
- Tomcat access-log (/mi/tomcat/logs/access-logs.*)에서 format 파라미터를 타깃으로 RCE 시그니처 검색
format=.*?exec(?:%28|\()(['"]|%27)(.+?)\1
- 의심스러운 명령 주입 패턴, base64, 리플렉션 기반 Java 명령 등 탐지 강화
2) 파일시스템 감시
- /tmp, /var/tmp, /mi/tomcat/webapps/mifs/images/ 등에서 실행 파일, 스크립트 생성을 실시간 감시
- wget, curl, fetch 등으로 내려받는 패턴 모니터링
- Web 서비스 계정(Tomcat, Java)이 해당 경로에 파일 생성/실행시 알림
3) 네트워크 & 인프라 보안
- AWS S3, 중국/러시아 IP 접속 시도, 리버스 프록시 터널(프록시툴) 설치 감지
- DNSLog 시스템(ns1.cybertunnel[.]run 등) 활용 시도 차단
4) 최신 패치와 계정 관리
- Ivanti 공식 패치 즉시 적용
- DB, 시스템 계정정보 평문 저장 여부 점검 → 반드시 암호화/권한 최소화
- 내부 네트워크 분리(망분리), 최소권한, AD/클라우드 토큰 주기적 무효화
5. IOC(침해지표)로 탐지 강화하기 🔎
주요 악성 IP/도메인/샘플:
- IP:
- 103.244.88[.]125 (FRP 도구 전파)
- 27.25.148[.]183 (중국, NetWeaver 등 공격에도 활용됨)
- 146.70.87.67:45020 (Auto-Color 백도어 C2)
- 124.223.202[.]90 (Yak Bridge/ DNSLog 운영)
- 악성 S3 버킷:
- openrbf.s3.amazonaws[.]com, tnegadge.s3.amazonaws[.]com, fconnect.s3.amazonaws[.]com 등
- 해시:
- KrustyLoader: 44c4a0d18263..., 7a4e0eb5fba...
- Sliver: 29ae4fa86329...
- 악성 bash script: 64764ffe4b1e..., b422645db18e...
- 도구:
- FRP 바이너리, Auto-Color 백도어, KrustyLoader, Sliver implant
6. 마무리 및 실무자 조언 ✍️
이번 Ivanti EPMM 제로데이 사태는 단일 솔루션 관리 환경이 무너질 때,
조직 전체가 한 번에 위험에 노출될 수 있음을 보여주는 대표적 사례입니다.
공격자는 최신 취약점 정보, 시스템 구조,
자동화 도구를 모두 활용해 조직의 핵심 데이터와 권한을 탈취합니다.
꼭 기억하세요!
- 보안 솔루션, MDM 등 중앙집중형 관리 시스템의 취약점은 반드시 신속하게 점검·패치 필요
- 기본 계정정보, DB 정보, 인증토큰 등은 무조건 암호화하고 최소 권한으로 분리
- 로그/행위기반 탐지와 자동화된 IOC 대응 체계 구축은 필수
- 공격자가 남기는 흔적(IP, 파일, 도메인, 해시 등)을 IOC로 꾸준히 업데이트
'CyberSecurity > Security🔐' 카테고리의 다른 글
중국과 북한 APT, 왜 요즘 사이버 공격의 절반을 차지하나? 🌏💻 (6) | 2025.05.22 |
---|---|
Operation RoundPress: 러시아 APT28이 겨냥한 웹메일 해킹, 어떻게 막을 수 있을까? 🚨 (1) | 2025.05.22 |
🚨 npm 생태계를 노린 초정교한 악성코드 캠페인 – os-info-checker-es6 사태의 모든 것 (3) | 2025.05.19 |
🚨 Eventin 워드프레스 플러그인 심각한 보안 취약점! (1) | 2025.05.18 |
🕵️♂️ 러시아 APT28, 전세계 정부·방산 메일 서버 XSS 취약점 집중 공격! (1) | 2025.05.18 |