VM웨어의 ESXi 호스트 노리는 중국 해커들, 상상 이상의 실력 뽐내다

가상화 환경을 이용하는 기업들에 비상 사태가 터졌다. 중국의 한 해킹 조직이 매우 능숙한 실력으로 가상기계들을 공략하고 있기 때문이다. 다행히 이들의 미스터리한 공격 경로들이 최근 윤곽을 드러냈다.

[보안뉴스 문가용 기자] 중국의 사이버 공격 조직 하나가 계속해서 VM웨어의 ESXi 호스트들을 공격하고 있으며, 아무도 모르게 제로데이 취약점까지 발굴해 익스플로잇 하고 있었다는 사실이 밝혀졌다. 보안 업체 맨디언트(Mandiant)는 이 공격 조직(UNC3886)을 지난 해부터 추적하고 있었으며, 이들이 익스플로잇 하고 있던 취약점을 VM웨어 측에 알려 패치가 개발되도록 했다. 패치는 이번 주에 발표됐다.

[이미지 = gettyimagesbank]

인증 우회 제로데이
문제의 제로데이 취약점은 CVE-2023-20867이며, VM웨어 툴즈(VMware Tools)에서 발견됐다. VM웨어 툴즈는 게스트 OS의 관리를 편리하게 해 주는 각종 서비스와 모듈을 모아둔 것이다. CVE-2023-20867을 익스플로잇 하는 데 성공한 공격자들은 미리 침해해 둔 ESXi 호스트를 사용해 파일을 윈도, 리눅스, 브이센터 게스트 가상기계로 옮기거나 받을 수 있다. 이 때 게스트 크리덴셜이 없어도 된다. 활동 사항이 기록되지도 않는다.

VM웨어는 이 취약점이 중간 위험도를 가진 것으로 평가하고 있다. 취약점 익스플로잇을 위해서는 먼저 호스트를 침해하여 루트 권한을 가지고 있어야 하기 때문이다. 하지만 보안 업체 맨디언트가 조사한 바에 의하면 UNC3886은 CVE-2023-20867을 길게 이어지는 연쇄 공격의 일부로서 활용한다고 한다. 즉 이 취약점 하나가 UNC3886의 VM웨어 생태계 공격에 유일무이한 중요 요소가 아니라는 것이며, VM웨어가 말하는 ‘호스트가 먼저 침해되어야만 한다’는 전제 조건의 성립이 어렵지 않다는 것이다.

2022년 9월 맨디언트는 UNC3886이 ‘브이스피어 설치 번들(vSphere Installation Bundles)’을 감염시킨 후 이를 활용해 다량의 백도어를 ESXi 하이퍼바이저에 설치하는 활동을 하고 있다고 경고했었다. 그리고 이 백도어들을 버추얼피타(VirtualPITA)와 버추얼파이(VirtualPIE)라고 통칭했다. 이 공격에 성공하면 공격자들은 하이퍼바이저를 통해 게스트 가상기계들에 명령을 실행할 수 있었다. 하이퍼바이저와 게스트 가상기계 간 파일을 주고받는 것도 가능하다. 뿐만 아니라 로깅과 관련된 기능을 공격자가 조작할 수도 있었다.

당시 맨디언트의 분석가들은 “이 공격을 실행하려면 공격자들이 ESXi 하이퍼바이저에서 관리자 수준의 권한을 가지고 있어야 하고, 그래야만 백도어를 심을 수 있게 된다”고 설명했다. 하지만 UNC3886이 처음 ESXi 환경을 뚫고 들어갈 때 또 다른 제로데이 취약점을 사용하고 있는지 아닌지는 정확히 확인할 수 없었다고 한다. CVE-2023-20867을 공격에 활용하는 건 의심할 수 있었지만 정확히 어떤 절차로 익스플로잇을 하는지는 당시 몰랐던 것이다.

새로운 발견들
그 후부터 지금까지 맨디언트는 UNC3886을 계속해서 추적해 왔다. 그리고 그 결과를 이번 주 기술 보고서 형태로 발표했다. 지난 9월에는 미처 발견하지 못했던 것들이 새롭게 다뤄졌다. 예를 들면 다음과 같은 것들이 있다.
1) 공격자들은 ESXi 서비스 계정 크리덴셜을 브이센터 서버(vCenter Server)로부터 수집했다.
2) 공격자들은 CVE-2023-20867을 익스플로잇 해서 높은 권한이 있어야만 실행할 수 있는 명령들을 게스트 가상기계 상에서 실행했다.
3) 공격자들은 VMCI 소켓을 사용해 횡적으로 움직여 백도어들을 심었다. 이 덕분에 공격자들은 게스트 가상기계에서부터 미리 침해해 둔 ESXi 호스트로 언제나 접속할 수 있었다.

맨디언트의 이번 보고서는 UNC3886이 실시했던 공격의 절차(혹은 공격 사슬)를 처음부터 끝까지 기술적으로 다루고 있다는 점에서 주목할 만하다. 공격자들이 브이센터 서버에서 높은 권한을 가져가고 연결된 모든 ESXi 호스트들의 서비스 계정 크리덴셜을 훔쳐내는 단계까지 전부 포함되어 있다. 그리고 그 크리덴셜을 사용해 ESXi 호스트들로 연결한 후 VIB를 통해 백도어를 심는 단계에 대해서도 상세하게 기술했다.

여태까지 UNC3886이 노린 ESXi 호스트들은 주로 국방, 기술, 통신 분야의 조직들이 보유한 것들이었다고 맨디언트는 설명한다. “ESXi 호스트들을 한 번에 여러 개 공략하기 위해 공격자들은 브이센터 서버들을 노렸습니다. 브이센터 서버 하나에 여러 개의 ESXi 호스트가 연결되어 있다는 걸 알고 있었던 것이죠.” 맨디언트의 컨설턴트인 알렉스 마비(Alex Marvi)의 설명이다.

“모든 ESXi 호스트들은 처음 브이센터 서버와 연결될 때 vpxuser라는 서비스 계정을 브이센터 서버에 생성합니다. UNC3886이 주로 노린 것이 바로 이 vpxuser 계정이었습니다. 이거 하나만 차지하면 연결된 모든 ESXi 호스트들에 대한 관리자 권한을 가질 수 있으니까요. 그렇게 해서 ESXi 호스트에 접근하는 데 성공하면 CVE-2023-20867을 익스플로잇 해서 자신들이 원하는 명령을 실행하거나 파일을 옮겼습니다.”

이전까지는 볼 수 없었던 공격 기술
브이센터 서버를 공략해 ESXi 서비스 계정 크리덴셜을 다량을 탈취하는 것과 VMCI 소켓을 통해 백도어를 심는 것은 이전까지 한 번도 발견된 적이 없는 공격 기술이라고 맨디언트는 강조한다. “이제 이들의 새로운 공격 기법을 알게 됐으니 방어를 하기가 더 쉬워질 겁니다. UNC3886의 공격 경로를 미리 차단하면 위험에서 효과적으로 벗어날 수 있습니다.”

맨디언트는 UNC3886이 제로데이 취약점 공략에 특화된 조직이라고 평가한다. “게다가 방화벽과 가상화 기술에 있는 제로데이 취약점을 잘 찾아내고 악용할 줄 압니다. 그래서 탐지가 매우 어렵습니다. 그들은 이런 기술력을 활용해 주로 미국과 아태지역 국가들과 일본을 공략 중입니다. 새로운 공격 기술과 새로운 공격 도구를 들고 나타나 들키지 않고 자신들의 할 일을 꾸준히 한다는 건 이들의 실력이 어마어마한 수준에 있다는 걸 뜻합니다.”

3줄 요약
1. 중국의 해킹 조직 UNC3886, 가상화 환경 공략에 특화되어 있음.
2. 브이센터 서버를 공략해 ESXi 호스트를 다량으로 공략하는 기술 선보임.
3. VMCI 소켓을 통해 백도어를 심는 신박한 전략도 선보임.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)