맨디언트가 VM웨어의 하이퍼바이저 ESXi를 대상으로 하는 새로운 멀웨어를 발견하고 관련 보고서를 공개했다.
VM웨어 하이퍼바이저와 게스트 시스템에 배포된 이번 멀웨어는 진화된 중국 넥서스(Nexus) 공격 그룹의 소행으로 추정된다.
2022년 4월, 맨디언트는 공격자가 악의적인 v스피어(vSphere) 설치 번들인 ‘VIB(vSphere Installation Bundle)’을 사용해 여러 개의 정교한 백도어를 ESXi 하이퍼바이저에 설치하는 독특한 기법을 확인했다. ESXi 하이퍼바이저는 정부, 금융, 국방 및 기술과 같은 다양한 산업의 여러 대규모 조직에서 사용하고 있다.
VM웨어는 전 세계 기업이 사용하는 가상화 플랫폼 중 하나다. 맨디언트는 지금까지 10개 미만의 조직에서 해당 멀웨어를 발견했지만, 다른 조직에도 배포됐을 가능성이 높다고 의심하고 있다.
이는 공격자들이 일반적으로 엔드포인트 탐지 및 대응 (Endpoint Detection and Response; 이하 EDR)이나 바이러스 백신 솔루션을 지원하지 않는 시스템에 멀웨어를 개발하고 배포하는 방식을 보여주는 예로서, 조직은 이러한 유형의 공격을 인지하지 못하는 경우가 많다.
아울러 맨디언트는 본질적으로 매우 수동적인 프로세스인 이 위험을 해결할 수 있는 방법에 대한 강화 지침을 블로그에 게시했다.
ESXi 하이퍼바이저 멀웨어 관련 맨디언트 조사의 주요 내용은 다음과 같다.
• 공격자가 멀웨어를 배포하기 위해서는 ESXi 하이퍼바이저에 대한 관리자 수준 권한이 필요하다.
• 공격자가 사용한 백도어는 ESXi 하이퍼바이저 내에서 지속되며, 이는 재시작 후에도 유지된다.
• 백도어는 하이퍼바이저와 하위에서 실행되는 게스트 시스템 모두에서 명령을 실행하고 파일을 전송하며 로깅 서비스를 조작할 수 있다.
• 현재로서는 ESXi의 알려져 있는 취약점이나 제로데이 취약점이 초기 접근 권한을 얻거나 악의적인 VIBs를 배포하는 데 사용됐다는 증거는 없다.
• 이번 멀웨어는 외부 원격 코드 실행 취약점을 노린 공격이 아니다.
• 맨디언트는 현재 이번 멀웨어와 관련된 해커 집단을 UNC3886으로 보고 추적하고 있으며 중국 기반의 해커로 추측하고 있다.
