중국 국가안전부(MSS)가 후원하는 것으로 알려진 중국 해킹 그룹 UNC5174가 최근 방위 계약업체, 정부 기관 및 기관을 대상으로 한 사이버 공격을 시도하고 있으며 이 공격은 ConnectWise ScreenConnect 및 F5 BIG-IP의 보안취약점을 악용해 공격을 진행한 것으로 조사됐다.

ConnectWise ScreenConnect 취약점(CVE-2024-1709)은 원격 데스크톱 소프트웨어를 사용하여 시스템에 대한 무단 액세스를 가능하게 한다. 지난 2024년 2월 UNC5174가 이 취약점을 악용하여 주로 미국과 캐나다에 있는 수백 개의 기관이 피해를 입었다. 이 취약점은 여러 고객이 보고하고 미국 사이버 보안 기관이 인정한 침해 사례를 통해 ConnectWise에 의해 확인되었다.

또, UNC5174 그룹은 많은 기업과 기관에서 사용하는 애플리케이션 전송 컨트롤러인 F5 BIG-IP에 영향을 미치는 CVE-2023-46747 취약점을 악용하는 것으로도 분석됐다. 지난 10월 말에 발견된 이 취약점은 위협 행위자가 임의의 코드를 실행할 수 있게 하여 잠재적으로 영향을 받는 시스템의 무결성을 손상시킬 수 있다. UNC5174에 의한 F5 BIG-IP 취약점 악용은 과거에도 있어왔던 것으로 전해진다.

구글 맨디언트는 UNC5174의 활동에 대한 광범위한 연구를 수행하여 복잡한 위협 행위자 네트워크와 전술을 밝혀냈다. 중국 핵티비스트 단체의 일원으로 추정되는 UNC5174는 이후 MSS의 계약업체로 전환하여 접속 작업을 전문으로 하고 있다.

UNC5174의 활동은 취약점 악용을 넘어 유명 대학과 싱크탱크에 속한 인터넷 연결 시스템의 취약점을 공격적으로 스캔하는 작업도 수행한다. 위협 행위자의 전술에는 손상된 시스템에 백도어를 생성하고 초기 액세스에 사용된 취약점을 패치하여 다른 위협 행위자의 후속 공격을 차단하기도 한다.

이에 보안 담당자는 알려진 취약점을 우선적으로 패치하고, 강력한 네트워크 세분화를 구현하며, 사고 대응 준비를 강화해야 한다. 위협 인텔리전스를 공유하고 국가가 후원하는 사이버 위협으로 인한 위험을 완화하기 위해서는 업계 동료, 정부 기관 및 사이버 보안 회사와의 협력이 필수적이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★