UAT-5918 그룹의 대만 중요 인프라 대상 침해 캠페인 분석

UAT-5918 targets critical infrastructure entities in Taiwan

UAT-5918 targets critical infrastructure entities in Taiwan

 

• 그룹 개요 및 배후
  • UAT-5918은 최소 2023년부터 활동 중인 중국 연계 APT 그룹으로 평가됨
  • Volt Typhoon, Flax Typhoon, Dalbit, Earth Estries와 도구 및 전술(TTPs) 다수 유사
  • 주요 목표는 정보 절취 및 장기적 접근 유지
• 초기 침투 방식
  • 인터넷에 노출된 웹 및 애플리케이션 서버의 N-day 취약점 악용
  • 웹쉘과 오픈소스 도구를 통한 포스트 침투 활동 수행
  • Microsoft Defender 예외 디렉터리 설정으로 탐지 우회
• 주요 도구 및 악성 행위
  • 네트워크 및 포트 스캔: FScan, In-Swor, PortBrute
  • 리버스 프록시 및 터널링: FRPC, Earthworm, Neo-reGeorg
  • 권한 상승: JuicyPotato, Metasploit
  • 지속성 확보: 웹쉘 다중 설치, 백도어 계정 생성, Meterpreter 리버스 쉘 사용
  • 자격 증명 수집: Mimikatz, LaZagne, 레지스트리 덤프, BrowserDataLite, SNETCracker
• 내부 이동 및 추가 침해
  • RDP, PowerShell remoting(WMIC), Impacket을 통한 lateral movement
  • PuTTY pscp, SQLCMD를 활용한 파일 수집 및 DB 백업 수행
  • 시스템 정보 수집: wmic, fsutil, netstat, ipconfig 등 기본 명령 활용
• 피해 대상 및 산업
  • 대만 내 통신, 보건, IT, 공공 인프라 등 핵심 분야 조직
  • Volt Typhoon, Flax Typhoon 등의 활동과 산업/지리적 목표 유사성 존재
• IOC 및 탐지 회피 전략
  • 공격자가 사용한 다수의 해시 및 경로, 파일명 공개됨 (Talos GitHub)
  • NirSoft CurrPorts, TCPView 사용하여 네트워크 연결 정보 실시간 감시
  • PowerShell 기반 SMB 로그인 스크립트, NetSpy로 세그먼트 구조 파악
• 보안 권고
  • 웹 애플리케이션 서버 취약점 주기적 패치 필수
  • PowerShell 및 RDP 사용행위의 이상탐지 시나리오 강화
  • Credential dumping, Impacket 도구 사용 탐지 룰 사전 정의
  • Windows Defender 예외 설정, 신규 관리자 계정 생성 등 정책 변경 탐지 필요
  • 백도어 계정 탐지 및 포스트 익스플로잇 툴 설치 여부 지속 모니터링
• 결론
  • 공격자는 오픈소스 도구를 정교하게 활용해 탐지 회피 및 지속적 침투 수행
  • 대만을 겨냥한 전략적 침해 작전이며, 미·중 경쟁 맥락에서의 사이버전 양상 반영
  • 보안 솔루션의 탐지 범위를 우회하고 장기적 통제를 위한 다양한 수법 활용