중국 연계 APT, Ivanti Connect Secure VPN 취약점을 악용하여 다수의 기관 침투

3월 말, TeamT5는 중국 연계 APT 그룹이 Ivanti Connect Secure VPN 어플라이언스의 심각한 취약점을 악용하여 전 세계 여러 기관에 침투했다고 탐지했습니다. 피해자는 12개국에 걸쳐 거의 20개의 다양한 산업을 포함합니다. TeamT5는 분석 당시 공격자가 여전히 피해자의 네트워크를 통제하고 있다고 판단합니다.

피해 현황

피해 국가에는 오스트리아, 호주, 프랑스, 스페인, 일본, 한국, 네덜란드, 싱가포르, 대만, 아랍에미리트, 영국, 미국이 포함됩니다. 표적이 된 산업에는 자동차, 화학, 복합기업, 건설, 정보 보안, 교육, 전자, 금융 기관, 도박, 정부, 정부간 기구(IGO), 정보 기술, 법률 회사, 제조, 재료, 미디어, 비정부 기구(NGO), 연구소, 통신 등이 포함됩니다.

위협 세부 정보

TeamT5의 분석에 따르면 공격자가 Ivanti Connect Secure VPN의 취약점을 악용하여 전 세계적으로 공격을 시작했다는 것을 높은 신뢰도로 평가했습니다. 공격자는 초기 접근을 위해 CVE-2025-0282[1] 또는 CVE-2025-22457[2]를 악용했을 가능성이 있습니다.

CVE-2025-0282와 CVE-2025-22457은 모두 CVSS 점수 9.0의 Ivanti Connect Secure VPN의 스택 버퍼 오버플로우 취약점입니다. 성공적인 악용은 위협 행위자가 원격 코드 실행을 달성하여 내부 네트워크 침입 및 악성 코드 심기로 이어질 수 있습니다.

이번 공격에서 공격자는 중국 위협 그룹 간에 공유되는 무기인 SPAWNCHIMERA를 배포했습니다. SPAWNCHIMERA는 Ivanti Connect Secure VPN을 위해 특별히 개발되었으며 악명 높은 SPAWN 계열의 모든 기능을 갖추고 있습니다. 여기에는 SPAWNANT(설치 프로그램), SPAWNMOLE(socks5 터널러), SPAWNSNAIL(SSH 백도어), SPAWNSLOTH(로그 와이퍼)가 포함됩니다.

또한, TeamT5의 분석에 따르면 다른 위협 행위자들도 취약점 정보를 얻어 Ivanti VPN 어플라이언스를 대상으로 하는 캠페인을 시작했을 수 있습니다. 4월부터 Ivanti VPN 어플라이언스에 대한 대규모 악용 시도가 관찰되었습니다. 대부분의 악용 시도는 실패했지만, 많은 Ivanti VPN 어플라이언스가 마비되고 불안정해졌습니다.

TeamT5는 영향을 받는 조직이 철저한 사고 조사를 수행할 것을 강력히 권장합니다. 다층 C2 인프라, 모니터링 메커니즘 회피, 로그 와이퍼 사용과 같은 공격자의 다양한 TTP를 고려할 때, 추가적인 기술 지원 없이는 네트워크 내부의 공격자의 악의적인 흔적을 탐지하는 것이 어려울 수 있습니다.