맨디언트, 이반티 커넥트 시큐어의 취약점 공격하는 위협 행위자로 중국 연계 사이버 스파이 그룹 추정

구글 클라우드 산하 맨디언트(Mandiant)가 이반티 커넥트 시큐어(Ivanti Connect Secure, 이하 ICS) VPN 어플라이언스에 영향을 미치는 치명적인 취약점(CVE-2025-22457)을 악용하는 공격 사례에 대한 새로운 조사 결과를 발표했다.

이번 조사는 이반티와 협력하에 진행됐으며, 해당 취약점 공격에 대응하는 새로운 보안 권고 사항을 포함하고 있다.

2025년 2월 11일 CVE-2025-22457에 대한 패치가 ICS 22.7R2.6 버전에서 배포됐다. CVE-2025-22457은 제한된 문자 공간으로 인한 버퍼 오버플로(Buffer Overflow) 취약점으로, 초기에는 위험도가 낮은 서비스 거부(Denial of Service, DoS) 공격 취약점으로 간주됐다.

맨디언트는 중국 연계 사이버 스파이 그룹인 UNC5221이 2월 배포된 ICS 22.7R2.6을 분석해 ICS 22.7R2.5 및 이전 버전에서 원격 코드를 실행할 수 있음을 깨달았을 가능성이 높다고 평가했다.

맨디언트와 이반티는 해당 취약점에 대해 패치가 출시됐음에도 불구하고 사용자가 패치를 적용하지 않아 발생하는 일명 ‘엔데이(N-day)’ 공격의 형태로 현재 패치가 적용되지 않은 시스템에 대한 공격이 활발하게 발생하고 있음을 확인했다. 이에 ICS 22.7R2.5 이하의 취약한 버전을 사용하고 있는 모든 고객에게 즉시 패치를 적용할 것을 강력하게 권고했다.

주요 조사 결과는 다음과 같다.

· 활발한 공격 및 추적: 맨디언트는 CVE-2025-22457에 대한 공격이 2025년 3월 중순부터 시작됐음을 확인했다. 이 공격은 SPAWN 멀웨어 생태계 배포와 동일하게 중국 연계 사이버 스파이 그룹인 UNC5221의 소행으로 추정된다. UNC5221은 이반티 및 기타 에지 디바이스(edge device)에서 제로데이(Zero-day) 및 엔데이 취약점을 모두 악용한 이력이 있다.
· 메모리에 상주하는 신규 멀웨어: 공격에 성공한 뒤 UNC5221이 새로운 메모리 상주 멀웨어 패밀리를 배포하는 것이 관찰됐다.
- TRAILBLAZE: 백도어를 주입하기 위해 설계된 초소형 메모리 내 멀웨어 드로퍼(메모리에서만 작동하는 소형 악성 코드)
- BRUSHFIRE: SSL 기능을 악용해 은밀하게 명령을 수신하는 수동 백도어
- 정교한 전술·기술·절차(TTPs): 공격자는 다단계 쉘 스크립트 드로퍼를 이용해 TRAILBLAZE를 실행하고 실행 중인 웹 프로세스의 메모리에 직접 BRUSHFIRE를 주입한다. 이러한 메모리만 타깃하는 접근 방식은 탐지를 회피하기 위한 전술이다.
· 공격의 영향: 공격에 성공한 공격자는 침해를 입은 어플라이언스에서 지속적인 백도어 액세스를 설정해 자격 증명 도용, 추가 네트워크 침입, 데이터 유출을 가능하게 한다.

찰스 카마칼(Charles Carmakal) 맨디언트 컨설팅 최고기술책임자(CTO)는 “UNC5221의 최근 공격 활동은 중국과 연계된 스파이 그룹들이 전 세계적으로 에지 디바이스를 지속적으로 표적으로 삼고 있음을 시사한다. 이러한 공격 행위자는 엔드포인트 탐지 및 대응(Endpoint Detection and Response, EDR) 솔루션을 사용하지 않는 기업의 시스템을 공략하기 위해 지속적으로 보안 취약점을 연구하고 맞춤형 악성 코드를 개발해 나갈 것이다. 중국 연계 스파이 행위자들은 그 어느 때보다 빠르고 능숙하게 사이버 잠입 공격을 실행하고 있으며, 시간이 흐를수록 더욱 가속화되고 있다”고 말했다.

이번 발표에 대한 자세한 내용은 블로그를 통해 확인할 수 있다.

웹사이트: https://cloud.google.com/?hl=ko