Space Pirates APT 그룹, OneDrive를 이용한 LuckyStrike 악성코드 공격

Space Pirates Hackers Attacking IT organizations With LuckyStrike Using OneDrive

Space Pirates Hackers Attacking IT organizations With LuckyStrike Using OneDrive

 

• 공격 개요
  • Space Pirates APT 그룹(Erudite Mogwai로도 알려짐)이 IT 조직 및 정부 기관을 표적으로 한 사이버 공격 수행
  • Microsoft OneDrive를 C2(Command and Control) 서버로 악용하여 탐지를 회피하면서 데이터 유출 및 원격 명령 실행
  • LuckyStrike Agent라는 .NET 기반 백도어를 활용해 원격 제어, 정찰, 데이터 탈취 수행
  • Stowaway 및 ShadowPad Light와 같은 오픈소스 도구를 변형하여 탐지 우회 및 네트워크 내부 이동
  • 러시아 및 인접 국가 대상 공격 감지 (2024년 11월 최초 확인)
• LuckyStrike 백도어의 주요 기능
  • OneDrive를 통한 C2 통신으로 일반적인 클라우드 트래픽처럼 위장
  • 원격 명령 실행(Remote Task Execution)
  • 네트워크 정찰 및 시스템 정보 수집
  • 데이터 유출 및 영구적 접근 권한 유지(Persistence Mechanism)
  • 보안 탐지 회피를 위해 난독화 및 클라우드 인프라 활용
• Stowaway 기반 공격 도구 변형
  • Stowaway 원본 기능을 제거하고 맞춤형 SOCKS5 프록시 기능 추가
  • LZ4 압축 및 XXTEA 암호화 적용으로 트래픽 감지 회피
  • QUIC 프로토콜 활용하여 네트워크 감시를 우회
  • 공격 트래픽을 피해자의 내부 네트워크로 우회하도록 설정
• 공격 진행 단계
  • 2023년 3월부터 초기 침투 시도, 19개월 동안 침투 및 정찰 후 2024년 11월 탐지
  • 공개된 웹 서비스 취약점을 이용한 초기 접근
  • Active Directory 서버 및 관리 워크스테이션 침투
  • Brute-force 공격을 통해 민감한 계정 탈취
  • 침투 후 lateral movement를 통해 네트워크 내부 장악
  • 최종적으로 주요 데이터 탈취 및 장기적인 접근 유지 시도
• 보안 위협 및 대응 방안
  • APT 그룹이 클라우드 서비스를 C2 인프라로 활용하는 사례 증가
  • 일반적인 보안 솔루션이 OneDrive 같은 클라우드 서비스 트래픽을 신뢰하는 점을 악용
  • 오픈소스 도구를 변형하여 보안 탐지를 우회하는 전략 강화
• 보안 권고
  • OneDrive 트래픽에 대한 정밀 모니터링 강화
    • 정상적인 사용 패턴과 비교하여 비정상적인 접근 및 트래픽 감지
  • 네트워크 세분화 및 최소 권한 원칙 적용
    • 중요 시스템과 클라우드 서비스 간 접근 제한
  • SOC(Security Operations Center)에서 클라우드 보안 모니터링 강화
    • OneDrive API 로그 분석 및 비정상적인 데이터 전송 감지
  • 악성코드 탐지를 위한 EDR/XDR 솔루션 활용
    • .NET 기반 백도어 탐지를 위한 시그니처 및 행동 기반 탐지 기법 적용
  • 공격 벡터에 대한 보안 교육 및 인식 강화
    • 공개된 웹 서비스 보안 점검 및 직원 대상 피싱 캠페인 교육 진행
• 결론
  • APT 그룹이 클라우드 인프라를 적극 활용하여 C2 통신 및 공격 활동을 은닉하는 추세
  • Space Pirates 그룹은 기존 오픈소스 도구를 변형하여 탐지 우회 기법을 고도화
  • 기업 및 기관은 클라우드 보안 및 네트워크 모니터링을 강화하고, 클라우드 기반 악성 활동에 대비한 탐지 역량을 높여야 함