BRICKSTORM 악성 소프트웨어, 미국의 기술, 법률 및 SaaS 기업을 타격

해커들이 BRICKSTORM 악성 소프트웨어를 이용하여 미국의 기업들을 침투하고 있습니다. 그들은 1년 이상 숨어있으면서 민감한 이메일과 데이터를 도용하고 있습니다.

구글의 위협 정보 그룹(GTIG)과 Mandiant 컨설팅의 최근 연구에 따르면, BRICKSTORM이라는 은밀한 사이버 공세가 주요 미국 산업을 표적으로 삼고 있다. 2024년 3월 이후 이 맬웨어는 법률 사무소, 기술 회사, 소프트웨어-서비스(SaaS) 제공업체 및 비즈니스 아웃소싱 회사를 대상으로 하고 있다.

연구자들은 이 백도어가 장기간 감시를 위해 설계되었다고 말합니다. “이것은 BRICKSTORM 백도어에 대한 수정과 결합하여 그들이 피해자 환경에서 평균 393일 동안 미탐지 상태를 유지할 수 있게 해주었습니다.”라고 Google은 지적했습니다.

이 공격은 중국과 연관성이 의심되는 해킹 그룹인 UNC5221과 연결되어 있습니다. 이 그룹은 패치되지 않은 소프트웨어 시스템의 보안 결함인 제로데이 취약점을 이용합니다. BRICKSTORM은 표준 보안 소프트웨어가 모니터링하지 않는 장치, 예를 들어 VMware 서버와 다른 네트워크 기기들을 침투하는 숨겨진 위협으로 작동합니다.

가장 우려스러운 발견 중 하나는 해커들이 민감한 이메일을 조용히 도난할 수 있다는 것입니다. 대부분의 경우, 그들은 개발자, 시스템 관리자, 그리고 미국의 국가 안보나 무역 문제에 연결된 개인을 대상으로 했습니다.

GTIG는 SaaS 공급자들이 공격자들에게 그들의 하류 고객에 도달하는 능력을 주게 될 수 있다고 설명했습니다. 그들은 또한 기술 회사를 공격하여 지적 재산을 도난하고 잠재적으로 새로운 제로데이 취약점을 이용할 수도 있습니다.

조직들이 스스로를 방어할 수 있도록 돕기 위해, Mandiant는 리눅스와 BSD 시스템에서 BRICKSTORM의 흔적을 탐지할 수 있는 스캐너 도구를 출시했습니다. 이 도구는 Mandiant의 GitHub 페이지에서 이용할 수 있습니다.

Mandiant는 기업들에게 강력하게 보안 관행을 업데이트하고, 중요한 서버를 어떻게 보호하는지 재검토하며, 오래된 탐지 방법에만 의존하는 대신 “위협 사냥” 방식을 채택할 것을 적극 권고했습니다.

“맨디언트는 조직들이 기기에 대한 위협 모델을 재평가하고, 이 매우 회피적인 행위자를 찾기 위한 연습을 실시하도록 강력히 권장합니다.”라고 팀은 말했습니다.

이런 캠페인은 공격자들이 표준 보안 조치를 우회하기 위해 전략을 수정하는 방법을 보여줍니다. 이것은 연구자들이 기업들에게 시스템 보호를 위한 적극적인 조치를 취하도록 밀어붙인다고 주장합니다.