‘UNC6148’ 소닉월 SMA 100에 백도어 심었다…지원 종료 제품 집중 공격

구글이 구형 소닉월(SonicWall) 장비를 노린 해킹 캠페인을 발견했다. 공격자들은 이미 지원이 종료된 ‘SMA 100’ 시리즈를 대상으로 백도어를 설치하고 침투를 이어가고 있다. 캠페인은 2024년 10월부터 시작된 것으로 추정된다.

구글 위협 인텔리전스 그룹(GTIG)은 이번 공격의 배후로 ‘UNC6148’이라는 해킹 조직을 지목했다. 피해 규모는 아직 제한적이지만, 공격 수법이 치밀하고 정교해 보안업계의 긴장감이 높아졌다. 특히, 한 번 뺏은 인증 정보를 활용해 보안 업데이트 이후에도 재침투하고 있는 점이 특징이다. 공격자들은 과거 침해를 통해 탈취한 계정과 OTP 시드 값을 재사용해 접근 권한을 유지하고 있다.

구글은 네트워크 트래픽 메타데이터를 분석한 결과, 2025년 1월부터 SMA 100 장비에서 인증 정보를 유출했을 가능성이 있다고 밝혔다. GTIG는 이번 활동이 데이터 탈취, 금전적 갈취, 랜섬웨어 배포와 연관됐을 가능성이 높다고 평가하고 있다. 실제로 2025년 5월 실제로 이번 공격의 피해 기업 중 한 곳이 과거 헌터스 인터내셔널 출신이 운영하는 데이터 유출 사이트 ‘월드 릭스’에 올라온 것으로 확인됐다. UNC6148의 활동은 2023년 말부터 보고된 소닉월 취약점 공격과도 연관되며 비슷한 사례는 2023년 7월에도 있었다. 당시에도 소닉월 SMA 장비를 대상으로 웹 셸과 루트킷을 활용한 침투가 있었고, 이후 ‘어비스 랜섬웨어’ 배포로 이어진 바 있다. 전문가들은 이러한 공격이 엔드포인트 보안 솔루션의 사각지대를 노리는 전략이라고 지적했다. 초기 침투 방법은 정확히 밝혀지지 않았으나 구글은 과거 공개된 취약점(CVE-2021-20035, CVE-2021-20038, CVE-2021-20039, CVE-2024-38475, CVE-2025-32819)을 악용했을 가능성을 제시했다. 또 다른 가설로는 크리덴셜 마켓에서 관리자 계정을 구입했을 가능성도 있지만, 이 부분은 입증되지 않았다.

UNC6148은 장비에 SSL VPN 세션을 생성하고 Reverse Shell을 실행했다. 소닉월 장비는 원칙적으로 Shell 접근이 불가능하지만, 공격자들은 제로데이 취약점을 사용했을 가능성이 있다. 이들은 Shell을 통해 설정 파일을 조작하고 시스템 동작을 변경해 탐지를 회피했다. 공격자는 시스템 로그를 정교하게 삭제해 활동 흔적을 숨겼다. 웹 요청에 명령을 숨겨 보내는 방식으로 원격 제어를 이어갔다.

최종적으로 UNC6148은 ‘OVERSTEP’이라는 백도어가 설치했다. OVERSTEP은 부팅 과정에 개입해 지속적인 접근을 유지하고, 장비의 파일 시스템 함수 일부를 가로채 탐지 자체를 어렵게 만든다. 이 과정에서 ‘/etc/rc.d/rc.fwboot’ 파일이 변조됐다. 장비가 재부팅될 때마다 백도어가 자동 실행되도록 조치한 것이다.

OVERSTEP 설치 과정

1. /etc/rc.d/rc.fwboot 스크립트를 수정해 부팅 시 악성코드가 실행되도록 설
2. INITRD.GZ 파일을 언팩해 초기 램디스크(INITRD)에 악성 라이브러리 삽
3. /usr/lib/libsamba-errors.so.6 파일로 악성코드 배치 및 권한 변경 (root:root, 0777)
4. ld.so.preload 파일에 해당 라이브러리를 등록해 모든 실행 파일에 자동 삽입
5. FS_IMMUTABLE_FL 플래그 설정으로 ld.so.preload의 삭제 및 수정 차단

OVERSTEP 기능요약

• 유저모드 루트킷: open, open64, readdir, readdir64 함수를 후킹해 자신과 관련된 파일을 숨김
• 백도어: write 함수 후킹을 통해 C2 명령을 수신하고 실행

C2 통신 및 명령 수신 예시

https://<compromised_server>/query?q=dobackshell

소닉월은 이번 사태에 대해 “구글과 긴밀히 협력해 대응 중”이라며, SMA 100 시리즈의 지원 종료를 앞당기겠다고 밝혔다. 기존에는 2027년 10월까지 지원할 예정이었지만, 이를 2025년 12월 31일로 앞당긴다. 소닉월은 고객들에게 클라우드 기반 보안 솔루션과 SMA 1000 시리즈로의 전환을 권장하고 있다.

Related Materials

• CISA Adds Two Known Exploited Vulnerabilities to Catalog - 미국 CISA, 2024년
• Critical Vulnerabilities in SonicWall GMS and Analytics - CERT-EU, 2023년
• Critical SonicWall Vulnerability Under Exploitation - 영국 NHS England Digital, 2024년
• 2022 Top Routinely Exploited Vulnerabilities - 미국 FBI/IC3, 2023년
• Exploited SonicWall Flaws Added to KEV List Amid PoC Code Release - 미국 MSSP Alert, 2024년
• SonicWall customers hit by fresh, ongoing attacks targeting SMA100 - 미국 CyberScoop, 2024년

중국어 사용 공격자, 국내 서버 공격

최근 국내 웹 서버를 노린 사이버 공격이 포착됐다. 공격자는 네트워크 장악 시도를 위해 악성코드로 시스템을 감염시켰다. 네크워크가 장악될 경우 민감한 정보 탈취나 랜섬웨어에 감염될 수 있어 이용자들의 철저한 보안 점검이 필요하다. 공격자는 웹쉘 악성코드를 설치하고, 라돈(Ladon) 도구를 악용, 수퍼쉘(SuperShell)과 메쉬에이전트(MeshAgent)를 설치해 감염 시스템을 제어했다. 라돈은

The Tech EdgeCheifEditor

중국 해킹 그룹 ‘실크타이푼’ 일원 체포

💡Editor Pick - 중국 해킹 그룹 실크타이푼 일원 추정 쉬저웨이 체포 - 다양한 국가 산업 대상으로 제로데이 및 엔데이 취약점 악용 공격 현지시간 지난 3일, 이탈리아 밀라노 말펜사 공항서 중국 연계 해킹 그룹 ‘실크타이푼(Silk Typhoon, UNC5221) 일원으로 추정되는 ‘쉬저웨이(Xu Zewei, 33세)’가 체포됐다. 구글 위협 인텔리전스 그룹(Google

The Tech EdgeCheifEditor