.jpg)
.gif)
맞춤형 도구 ‘SoundBill’·클라우드 인프라 악용해 탐지 회피 고도화
UAT-5918 하위조직 추정...VPN·RDP 조합한 지속적 접근 전략 구사
[보안뉴스 여이레 기자] 시스코 탈로스 보안연구진은 2022년 이후 대만 웹호스팅 인프라를 표적으로 활발히 공격을 펼쳐 온 중국어권 지능형 위협 그룹(APT) ‘UAT-7237’의 활동을 포착했다고 밝혔다.
[자료: gettyimagesbank]
웹호스팅 기업에 대한 침투는 공급망 전체를 겨냥한 2차 공격, 데이터 수집 등 광범위 침해로 이어질 수 있어 정보 보안 환경에 위협적으로 평가된다. UAT-7237은 이전에 확인된 중국계 위협조직 UAT-5918과 작전 방식과 피해 대상을 공유하는 등 협력 구조 아래 독립적으로 움직이는 하위조직의 특성을 드러냈다.
UAT-5918은 대만 내 오픈소스 도구와 첨단 전술, 장기 침투 캠페인을 결합해 주요 인프라와 민감한 데이터를 지속적으로 위협해왔다.특히 고가치 표적에 대한 장기 침입을 위한 치밀한 전략이 돋보였다. 탈로스는 “피해 패턴·도구·시간상 일치 사례가 많아 UAT-7237이 UAT-5918의 하위그룹일 가능성이 매우 높다”고 분석했다.
UAT-7237은 먼저 외부 노출형 서버의 취약점을 노려 침투한다. 이후 타깃 네트워크 내 가치 평가와 정찰을 거쳐 다양한 맞춤형 공격 도구를 투입했다. 이 중 ‘SoundBill’은 중국어 기반 VTHello 프레임워크에서 파생된 셸코드 로더로, 코발트 스트라이크와 연동해 페이로드 실행, 탐지 회피 등 공격 효율을 극대화한다.
이들은 기존 웹셸 설치를 최소화하고 소프트이더(SoftEther) VPN과 직접 RDP 접속, AWS 람다(Lambda) URL 기반 명령제어(CTC) 등 글로벌 클라우드 인프라와 VPN을 적극 활용했다. QQ 메신저 파일 위장, 커스텀 Mimikatz 배치 등 방어 우회 기술도 고도화됐다.
UAT-7237은 윈도우 환경 내 권한상승, 네트워크 스캐닝, 메모리 기반 자격증명 추출(ssp_dump_lsass, Mimikatz 등)을 효율적으로 조합해 내부망을 장악한다. 해커는 UAC 우회, 암호 평문 저장 활성화 등 레지스트리 직접 수정으로 방어벽을 무력화했다.
또 SharpWMI, WMICmd, VNC 설정 분석, LSASS 프로세스 덤프 등 다양한 원격 관리 및 자격증명 탈취 기법을 활용했다. 탈취 정보는 7-Zip으로 압축 정리해 조직적으로 외부로 반출했다.
이번 사례는 중국어권 APT 조직의 최신 침투 방식과 대만 디지털 인프라에 대한 잠재적 위협을 단적으로 보여준다는 평가다. 전문가들은 공급망 전반에 대한 강력한 점검과 실시간 탐지 강화가 시급하다고 경고했다.
[여이레 기자(gore@boannews.com)]
UAT-5918 하위조직 추정...VPN·RDP 조합한 지속적 접근 전략 구사
[보안뉴스 여이레 기자] 시스코 탈로스 보안연구진은 2022년 이후 대만 웹호스팅 인프라를 표적으로 활발히 공격을 펼쳐 온 중국어권 지능형 위협 그룹(APT) ‘UAT-7237’의 활동을 포착했다고 밝혔다.
[자료: gettyimagesbank]
웹호스팅 기업에 대한 침투는 공급망 전체를 겨냥한 2차 공격, 데이터 수집 등 광범위 침해로 이어질 수 있어 정보 보안 환경에 위협적으로 평가된다. UAT-7237은 이전에 확인된 중국계 위협조직 UAT-5918과 작전 방식과 피해 대상을 공유하는 등 협력 구조 아래 독립적으로 움직이는 하위조직의 특성을 드러냈다.
UAT-5918은 대만 내 오픈소스 도구와 첨단 전술, 장기 침투 캠페인을 결합해 주요 인프라와 민감한 데이터를 지속적으로 위협해왔다.특히 고가치 표적에 대한 장기 침입을 위한 치밀한 전략이 돋보였다. 탈로스는 “피해 패턴·도구·시간상 일치 사례가 많아 UAT-7237이 UAT-5918의 하위그룹일 가능성이 매우 높다”고 분석했다.
UAT-7237은 먼저 외부 노출형 서버의 취약점을 노려 침투한다. 이후 타깃 네트워크 내 가치 평가와 정찰을 거쳐 다양한 맞춤형 공격 도구를 투입했다. 이 중 ‘SoundBill’은 중국어 기반 VTHello 프레임워크에서 파생된 셸코드 로더로, 코발트 스트라이크와 연동해 페이로드 실행, 탐지 회피 등 공격 효율을 극대화한다.
이들은 기존 웹셸 설치를 최소화하고 소프트이더(SoftEther) VPN과 직접 RDP 접속, AWS 람다(Lambda) URL 기반 명령제어(CTC) 등 글로벌 클라우드 인프라와 VPN을 적극 활용했다. QQ 메신저 파일 위장, 커스텀 Mimikatz 배치 등 방어 우회 기술도 고도화됐다.
UAT-7237은 윈도우 환경 내 권한상승, 네트워크 스캐닝, 메모리 기반 자격증명 추출(ssp_dump_lsass, Mimikatz 등)을 효율적으로 조합해 내부망을 장악한다. 해커는 UAC 우회, 암호 평문 저장 활성화 등 레지스트리 직접 수정으로 방어벽을 무력화했다.
또 SharpWMI, WMICmd, VNC 설정 분석, LSASS 프로세스 덤프 등 다양한 원격 관리 및 자격증명 탈취 기법을 활용했다. 탈취 정보는 7-Zip으로 압축 정리해 조직적으로 외부로 반출했다.
이번 사례는 중국어권 APT 조직의 최신 침투 방식과 대만 디지털 인프라에 대한 잠재적 위협을 단적으로 보여준다는 평가다. 전문가들은 공급망 전반에 대한 강력한 점검과 실시간 탐지 강화가 시급하다고 경고했다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)