Web Server Exploits와 Mimikatz가 사용된 아시아 핵심 인프라 대상 공격
Source: The Hacker News
위협 행위자 개요
남아시아, 동남아시아 및 동아시아의 고가치 조직들이 수년간 지속된 캠페인에서 중국 위협 행위자의 표적이 되었습니다.
이 활동은 항공, 에너지, 정부, 법집행, 제약, 기술 및 통신 부문에 걸쳐 있습니다. Palo Alto Networks Unit 42는 이 캠페인을 이전에 문서화되지 않은 그룹 CL‑UNK‑1068(여기서 “CL” = cluster 및 “UNK” = unknown motivation)에 귀속시키며, 중간‑높은 신뢰도로 그 주요 목표가 사이버 스파이 활동이라고 평가했습니다.
“우리 분석에 따르면 맞춤형 악성코드, 수정된 오픈‑소스 유틸리티, 그리고 살아있는 시스템 바이너리(LOLBIN) 등을 포함하는 다면적인 도구 세트를 사용하고 있습니다. 이러한 도구는 공격자가 표적 환경 내에 지속적인 존재감을 유지하는 간단하고 효과적인 방법을 제공합니다.” – 보안 연구원 Tom Fakterman【source】(https://unit42.paloaltonetworks.com/cl-unk-1068-targets-critical-sectors/)
도구 및 악성코드
공격자는 Windows와 Linux 환경을 모두 표적으로 삼아 오픈‑소스 유틸리티와 악성코드 패밀리를 혼합해 활용합니다:
- Godzilla – 웹 쉘
- ANTSWORD – 웹 쉘
- Xnote – Linux 백도어 (2015년부터 탐지되었으며 Earth Berberoka / GamblingPuppet 집단이 사용)
- Fast Reverse Proxy (FRP) – 지속성 도구
Linux 백도어
Xnote는 온라인 도박 사이트를 대상으로 한 공격에서 관찰되었으며, 공격자에게 손상된 Linux 서버에 대한 장기 접근 권한을 제공합니다.
일반적인 공격 체인
- 웹 서버 악용 – 웹 쉘을 배포합니다.
- 횡방향 이동 – 추가 호스트로 피벗합니다.
- 파일 절도 –
c:\inetpub\wwwroot에서 특정 확장자(web.config,.aspx,.asmx,.asax,.dll)를 가진 파일을 탈취하여 자격 증명을 얻거나 추가 취약점을 발견합니다.
추가 수집 데이터
- 웹 브라우저 기록 및 북마크.
- 데스크톱 및
USER디렉터리에서 XLSX 및 CSV 파일. - MS‑SQL 서버에서 데이터베이스 백업(
.bak) 파일.
데이터 유출 기법
The group archives collected files with WinRAR, then encodes the archives using Base64 via certutil -encode. The encoded output is displayed with the type command, allowing the attackers to read the data through the web shell without uploading files.
“아카이브를 텍스트로 인코딩하고 화면에 출력함으로써, 공격자는 실제로 파일을 업로드하지 않고도 데이터를 유출할 수 있었습니다. 공격자는 호스트의 셸이 명령을 실행하고 출력을 볼 수는 있지만 파일을 직접 전송할 수는 없었기 때문에 이 방법을 선택했을 가능성이 높습니다.” – Unit 42
Credential Theft Tools
- Mimikatz – 메모리에서 비밀번호를 덤프합니다.
- LsaRecorder –
LsaApLogonUserEx2를 후킹합니다 (https://github.com/Nested101/RedKitsCyber-Security-Reseraching-and-RedTeam-Kits-Code/tree/master/passwd/LsaRecorder). - PrintSpoofer – Windows 프린트 스풀러를 악용합니다 (https://github.com/itm4n/PrintSpoofer).
- ScanPortPlus – 커스텀 Go‑기반 스캐너.
- FRP – 지속적인 접근을 위해 사용됩니다.
적대자는 또한 합법적인 Python 실행 파일(python.exe, pythonw.exe)을 사용하여 DLL 사이드‑로드 공격을 수행하고, 악성 DLL의 은밀한 실행을 가능하게 합니다.
추가 관찰 사항
- SuperDump, 맞춤형 .NET 정찰 도구가 2020년부터 사용되었습니다.
- 최근 침입은 배치 스크립트를 사용하여 호스트 정보를 수집하고 로컬 환경을 매핑합니다.
- LSA_AP_LOGON_USER_EX2 – WinLogon 비밀번호를 기록합니다.
- DumpItForLinux 및 Volatility Framework – 메모리에서 비밀번호 해시를 추출합니다.
- SQL Server Management Studio Password Export Tool – SSMS 연결 정보를 저장하는
sqlstudio.bin내용을 추출합니다.
“주로 오픈소스 도구와 커뮤니티가 공유한 악성코드 및 배치 스크립트를 사용하여, 이 그룹은 중요한 조직에 침투하면서 은밀한 작전을 성공적으로 유지하고 있습니다,” Unit 42가 결론지었습니다.
“이 활동 클러스터는 Windows와 Linux 환경 모두에서 작동하며, 각 운영 체제에 맞는 도구 세트의 다양한 버전을 사용함으로써 다재다능함을 보여줍니다. 중요한 인프라와 정부 부문에서 자격 증명 절도 및 민감 데이터 유출에 초점을 맞춘 점은 첩보 목적을 강하게 시사하지만, 아직 사이버 범죄 의도를 완전히 배제할 수는 없습니다.”
최신 소식 받아보기
더 많은 독점 콘텐츠를 위해 팔로우하세요:
- Google News