C2가 중단된 뒤 TailScale·OpenSSH로 접근을 유지한 주니어 해커

출처: 해커 뉴스

프랑스어 사용 atacante가 작은 프랑스 자동차 사업체에 침투해 키로거를 설치하고 은행 및 이메일 인증 정보를 훔쳤다.

보통적인 일처럼 보였지만, 마지막에 한 가지 움직임이 있었다.

C2 서버가 꺼지기 전에는 OpenSSH와 Tailscale을 피해자의 머신에 설치해 C2를 거치지 않는 백도어 경로를 구축했다. 다음 날 Havoc 서버가 오프라인 상태가 되자, 그의 접근은 유지되었다. 18일 뒤 C2가 다시 작동했고, 에이전트들이 스스로 재연결했으며 작업은 계속되었다.

Cato Networks는 운영자가 오픈 스토리지 버킷에 SSH 키와 단계별 플레이북을 남긴 뒤 33일 동안 339개의 명령을 모두 캡처했다. Vitaly Simonovich 연구원이 화요일 발표한 보고서는 포렌식 잔해가 아닌 연산자 키보드에서 직접 intrusion을 볼 수 있는 드문 사례이다.

연구자들의 교훈은 명확하다: C2 서버를 오프라인 상태로 만드는 것만이 공격자가 별도의 출입구를 이미 구축한 경우 완전한 복구가 아니다.

“Poisson”이라는 핸들명은 APT가 아니다. 연구자들은 설명 junior 연산자가 학교 일정처럼 보이며 CET 기준 오후 3시 이후 활동하고 장시간 점심 시간대를 가졌으며, 모든 것이 무료 티어 키트( DuckDNS, Backblaze B2, 베를린에 위치한 저렴한 IONOS VPS)에서 실행되었다고 설명했다. 그의 기술은 얇았다.

그는 다섯 번 자신의 홈 디렉터리를 유출했고, 저장 버킷을 자신의 핸들명으로 이름을 붙였으며, 키로거 패키지 안에 반복해서 입력된 그의 키보드 입력을 테스트 파일로 남겨 두었다. 전체 시도 중 약 절반에 해당하는 부분에서 실패했지만, 여전히 네 대의 머신을 침해했다.

체인

멀웨어는 메모리에서 거의 완전히 실행되었다. VBScript 스테이저가 샌드박스 회피 지연을 두고 PowerShell 로더를 디코딩했으며, 이 로더는 .NET 로더를 가져와 Havoc의 Demon 에전트를 디스크에 기록하지 않고 실행했다. 권한 상승에는 Start-Process -Verb RunAs를 사용했는데, 이는 무음 UAC 우회가 아니다. Windows 동의 프롬프트를 띄우고 누군가가 Yes 클릭할 때까지 기다린다. 한 대의 피해자에게는 이 과정이 이틀 동안 십 번 반복되었다.

그 후에는 고정 작업이 이어졌다: 로그온 시最高특权으로 실행되는 스케줄된 작업, Explorer.exe에 주입된 쉘코드, 그리고 백업 채널용 커스텀 RustDesk. Credential grabber는 70줄짜리 Python 키로거로 로컬 파일에 키 입력을 기록했으며, 베콘이나 파일 전송 서버가 없었다. Poisson은 로그인한 뒤 직접 파일을 가져와 powercfg를 실행해 컴퓨터가 절전 모드로 전환되지 않게 했고, 따라서 데이터 수집이 중단되지 않았다.

중요한 움직임

4월 7일, 5시간 동안의 야간 세션 동안 그는 OpenSSH 서버와 Tailscale를 설치하고 피해자의 머신을 자신의 개인 Tailscale 네트워크에 연결했으며, 키 기반 SSH와 역방향 터널을 구성했다. 이제 C2 없이 포트를 노출하지 않고 Tailscale의 암호화된 메쉬를 통해 머신에 접속할 수 있었다.

다음 날 Havoc 인프라가 오프라인 상태가 되었다. Cato는 그 이유를 밝히지 않았으며, 그 정도도 중요하지 않다: Tailscale 경로는 별도의 네트워크에 위치해 있었기에 접근은 유지되었다.

4월 26일에 C2가 다시 작동하면서 에이전트들이 자동으로 재연결했으며, 재공급이 필요 없었다. 마지막 5일 동안 그는 145개의 추가 명령을 실행하고 스마트 카드 및 인증서 저장소를 탐색했다(이를 통해 인증서 기반 로그인을 노린 것으로 보인다). 파일 이름인 Thales.zip에 있는 두 불명확한 실행 파일을 총 약 32분간 실행한 후 17개 파일을 삭제하고 5월 1일에 조용히 사라졌다.

그는 목표가 좁았다. Mimikatz도 없고, 측면 이동도 없으며, 랜섬웨어도 없었고, 세금 기록이나 보험과 같은 문서를 탐색했다는 증거도 없었다. 단지 사람들이 입력하는 내용만: 은행 로그인, 이메일 비밀번호, 정부 포털이다. 소규모 사업주에게는 이는 직접적인 재정적 노출이다.

이 도구들은 모두 새롭지 않으며, 그 점을 강조한다. 중국의 APT31은 2024년과 2025년 사이 Tailscale를 사용해 러시아 IT 기업을 조용히 터널링했으며, [Scattered Spider](https://thehackernews.com/2023/11/us-cybersecurity-agencies-warn-of. html)는 Ngrok와 Fleetdeck 같은 합법적인 원격 접근 도구를 활용했다. 또한 RustDesk은 Poisson의 백업 채널로 최근 [Akira 랜섬웨어](https://thehackernews.com/2025/09/sonicwall-ssl-vpn-flaw-and. html) 침입 사건에 나타났다.

주의 깊게 볼 것

Cato의 탐색 목록은 구체적이다:

• Windows 워크스테이션에 OpenSSH 서버가 설치될 때 알림을 발생시킨다. 이는 드물게 정당한 경우가 많다.
• Tailscale.exe가 실행 중인 머신, 특히 VPN 용도가 없는 경우 감시한다.
• 외부 호스트로 향하는 ssh -R 역방향 터널을 감시한다.
• 사용자 스테이징 폴더에서 .vbs 파일을 실행하는 wscript.exe를 확인한다.
• 최고 권한으로 설정된 스케줄 작업 중 스크립트 인터프리터를 시작하는 항목을 플래그한다.
• powercfg가 대기 시간 초과 설정을 변경해 컴퓨터가 절전 모드로 전환되지 않게 하는 경우를 감시한다.
• DuckDNS를 차단한다.

더 큰 한 가지 교훈은: C2를 발견하면 그것이 유일한 입구가 아니라는 가정을 하고, 뒤에 숨은 조용한 지속성 레이어를 찾아 헤매야 한다.

Thales.zip 안에 무엇이 있었는지, 그리고 그 두 프로그램이 머신에서 32분 동안 수행한 행동은 Cato가 아직 답을 내놓지 않았다. 더 중요한 사실은 C2 자체가 침입이 아니라 단지 하나의 입구였으며, 이를 제거하고 OpenSSH, Tailscale, 스케줄 작업, 키로거를 계속 실행해 두면 공격자는 여전히 재진입할 수 있다는 것이다.

그것은 복구가 간과하는 부분이다.

이 글이 흥미로웠다면 Google News(링크), Twitter(링크) 및 LinkedIn(링크)를 팔로우해 최신 독점 콘텐츠를 확인하세요.