주니퍼 라우터에 대한 중국 해킹 그룹의 표적 공격

주니퍼 네트웍스는 최근 Google의 Mandiant Incident Response 팀이 발견한 중국 연계 해킹 그룹 UNC3886에 의해 설치된 커스텀 백도어를 막기 위해 Junos OS 라우터에 대한 업데이트를 발표했습니다. 이 공격은 주니퍼가 Hewlett Packard Enterprise(HPE)에 의해 인수되는 과정에서 발생했습니다.

 

 

공격의 세부 사항

• UNC3886: 이 해킹 그룹은 2024년에 Junos OS 기반 라우터에 여러 TINYSHELL 기반 백도어를 배포했습니다. 이 백도어는 활성 및 수동 기능을 포함하며, 장치의 로깅 메커니즘을 비활성화하는 스크립트를 포함하고 있습니다.
• 목표: UNC3886는 주로 미국과 아시아의 방위, 기술 및 통신 조직을 목표로 하고 있습니다.
• 장비: 공격은 주로 Juniper의 MX 라우터를 대상으로 하며, 이 라우터들은 "end-of-life" 하드웨어와 소프트웨어를 실행하고 있었습니다.

반응형

취약점 및 패치

• 취약점: 이 취약점은 Junos OS 커널에 있으며, "중간" 심각도로 평가됩니다. 이 취약점이 악용되면 로컬 공격자가 장치에 코드를 주입할 수 있습니다.
• 패치: Juniper는 이 취약점을 해결하기 위해 긴급 보안 업데이트를 발표했습니다. 영향을 받는 모든 Junos OS 제품에 대한 패치가 제공되었습니다.

HPE 인수와의 연관성

• HPE 인수: Juniper Networks는 현재 HPE에 의해 인수되는 과정에 있습니다. 그러나 이 인수는 DOJ(Department of Justice)의 반독점 우려로 인해 법적 소송을 받고 있습니다.
• 국가 안보 우려: HPE와 Juniper가 제공하는 중요한 통신 기술에 대한 지속적인 지원이 국가 안보에 영향을 미칠 수 있다는 우려가 제기되고 있습니다.
• Juniper Networks는 최근 재정 연도를 성공적으로 마무리하며, CEO Rami Rahim은 네트워킹 거대 기업이 여전히 운영적으로 건전하며 AI 중심 전략을 통해 성장 가능성이 있다고 강조했습니다. 또한, HPE의 140억 달러 인수가 DOJ의 소송에도 불구하고 성공적으로 완료될 경우, Juniper가 더 강력해질 것이라는 견해를 뒷받침했습니다.
• 재정 성과: Juniper는 4분기 매출이 전년 대비 및 순차적으로 소폭 상승했습니다. 이는 AI 포지셔닝을 통해 현재 시장에서 경쟁력을 유지하고 있음을 보여줍니다.
• CEO의 자신감: Rahim은 "우리는 이 과정에서 한 번도 멈추지 않았으며, 결과에서 이를 확인할 수 있습니다."라고 말했습니다.

UNC3886 해킹그룹의 정체와 공격 방법

UNC3886는 중국 연계 사이버 스파이 그룹으로, 네트워크 장비와 가상화 기술을 주로 목표로 하는 고도의 기술을 가진 해킹 그룹입니다. 이 그룹은 주로 미국과 아시아에 위치한 방위, 기술 및 통신 조직을 대상으로 하고 있습니다. 

UNC3886 그룹의 공격은 2022년 9월에 처음으로 보고되었습니다.

 

 

공격의 세부 사항

• 목표: UNC3886는 주로 Juniper Networks의 Junos OS 라우터를 대상으로 하며, 특히 "end-of-life" 하드웨어와 소프트웨어를 실행하는 MX 라우터를 공격했습니다.
• 백도어: 이 그룹은 TINYSHELL 기반의 여러 백도어를 배포했습니다. 이 백도어는 활성 및 수동 기능을 포함하며, 장치의 로깅 메커니즘을 비활성화하는 스크립트를 포함하고 있습니다.
• 공격 방법: UNC3886는 Junos OS의 Veriexec 보안 기능을 우회하여 합법적인 시스템 프로세스에 악성 코드를 주입했습니다. 이는 CVE-2025-21590으로 추적되는 취약점을 악용한 것입니다.
• 전략적 변화: 이 그룹은 전통적으로 네트워크 엣지 장비를 목표로 했으나, 최근에는 내부 네트워킹 인프라, 특히 ISP가 사용하는 라우터를 목표로 하고 있습니다.

공격의 영향

• 장기적 접근: UNC3886는 피해 네트워크에 대한 장기적 접근을 유지하는 데 중점을 두고 있습니다. 이를 위해 로그 및 포렌식 아티팩트를 조작하여 탐지를 최소화합니다.
• 보안 우려: 이 공격은 네트워크 인프라의 보안과 국가 안보에 대한 중요한 질문을 제기합니다. 특히, Juniper Networks가 HPE에 의해 인수되는 과정에서 발생한 이 공격은 인수에 대한 법적 소송과 연관될 수 있습니다.

대응 및 권장 사항

• 패치 및 업데이트: Mandiant는 조직이 Juniper 장비를 최신 소프트웨어 버전으로 업그레이드하고, Juniper Malware Removal Tool(JMRT)을 실행하여 취약점을 완화할 것을 권장합니다.
• 보안 강화: 다중 인증 및 세분화된 접근 제어를 구현하고, 네트워크 모니터링 및 취약점 관리 관행을 개선해야 합니다.
• 위협 인텔리전스: 조직은 위협 인텔리전스를 활용하여 보안 통제의 효과성을 지속적으로 평가하고 개선해야 합니다.

UNC3886 그룹이 사용하는 TinyShell 백도어의 특징

UNC3886 그룹은 Juniper Networks의 Junos OS 라우터를 대상으로 TinyShell 기반의 여러 백도어를 배포했습니다. 이 백도어의 주요 특징은 다음과 같습니다:

1. 다양한 기능

• 활성 및 수동 백도어: TinyShell 백도어는 활성 및 수동 기능을 모두 포함하고 있습니다. 활성 백도어는 공격자가 명령을 직접 실행할 수 있게 하며, 수동 백도어는 파일 다운로드, 프로세스 주입, 쉘 명령 실행 등을 지원합니다

2. 로깅 메커니즘 비활성화

• 로그 비활성화 스크립트: 이 백도어는 장치의 로깅 메커니즘을 비활성화하는 스크립트를 포함하고 있어, 공격자가 탐지를 피할 수 있게 합니다.

3. 프로세스 주입

• Veriexec 우회: UNC3886는 Juniper의 Veriexec 보안 기능을 우회하여 합법적인 시스템 프로세스에 악성 코드를 주입합니다. 이는 CVE-2025-21590으로 추적되는 취약점을 악용한 것입니다

4. 장기적 접근

• 장기적 접근 유지: 이 그룹은 피해 네트워크에 대한 장기적 접근을 유지하는 데 중점을 두고 있습니다. 이를 위해 로그 및 포렌식 아티팩트를 조작하여 탐지를 최소화합니다

5. 다양한 변형

• 여러 변형: UNC3886는 TinyShell 기반의 여러 백도어 변형을 배포했습니다. 이는 공격자가 다양한 방법으로 네트워크를 침투하고, 다양한 기능을 수행할 수 있게 합니다

6. 루트킷 배포

• 루트킷: UNC3886는 TinyShell 백도어 외에도 Pithook, Ghosttown, Reptile, Medusa와 같은 루트킷을 배포하여 SSH 인증 및 자격 증명을 캡처하고, 포렌식 노력을 제한합니다