중국 연계 APT 그룹 Weaver Ant, 아시아 통신사 네트워크에 4년 이상 잠입

Chinese APT Weaver Ant infiltrated a telco for over four years

Chinese APT Weaver Ant infiltrated a telco for over four years

 

• 침해 개요
  • 중국 연계 APT 그룹 Weaver Ant는 아시아 소재 한 통신 서비스 제공업체의 내부 네트워크에 4년 이상 장기 침투
  • 포렌식 분석 결과 내부 서버에서 China Chopper 및 INMemory 웹셸을 포함한 다수의 웹셸 발견
  • 외부 공격자가 식별되지 않은 서버를 통해 서비스 계정을 사용하여 공격자 계정을 재활성화한 흔적 확보
• 주요 침투 및 은폐 기법
  • China Chopper 웹셸: 원격 명령 실행 및 지속적 접근을 위한 도구로 사용되었으며, AES 암호화를 통해 WAF 우회
  • INMemory 웹셸: 디스크에 흔적을 남기지 않고 메모리 상에서 ‘eval.dll’을 동적으로 실행하여 탐지 회피
    • GZipped Base64 인코딩된 문자열을 디코딩하여 PE 파일로 전개
    • HTTP 요청 헤더의 SHA256 해시 일치 여부 확인 후 페이로드 실행
    • ‘JScriptEvaluate’를 통한 코드 실행으로 디스크 기반 시그니처 탐지 회피
• 탐지 회피 및 내부 확장 기법
  • 로그 회피: ‘password’, ‘key’ 등의 키워드를 삽입하여 WAF 로그에서 자동 마스킹 유도
  • 로그 길이 초과 유도: 페이로드 크기를 비정상적으로 증가시켜 로그 트렁케이션 발생 유도
  • HTTP 터널링: 웹서버를 프록시로 활용하여 내부망 HTTP/S 트래픽 릴레이, 보안 툴 회피
  • ETW(이벤트 추적) 패치 및 AMSI 우회: 윈도우 이벤트 로깅 및 안티멀웨어 인터페이스 우회
  • PowerShell 우회 실행: System.Management.Automation.dll을 직접 호출하여 powershell.exe 탐지 회피
  • SMB를 활용한 측면이동 및 NTLM 해시 재사용을 통해 추가 웹셸 배포 및 계정 권한 상승
  • IIS 구성 파일 내 자격 증명 추출을 통한 권한 탈취
• 공격자 활동 및 정보수집
  • Invoke-SharpView 모듈을 사용해 도메인 컨트롤러 대상 정찰 활동 수행
    • 수행 명령: Get-DomainUserEvent, Get-DomainSubnet, Get-DomainUser, Get-NetSession 등
    • 목표는 고위 권한 계정 및 중요 서버 식별 후 공격 대상군에 추가
  • 통신 인프라 내의 지속적 존재 확보 및 정보수집이 주된 목적
• 공격자 프로파일
  • Weaver Ant는 국가 후원형 사이버 스파이 그룹으로 평가됨
  • 공격 시간대(GMT+8), Zyxel 라우터 활용, 중국 관련 백도어 도구 및 TTP를 바탕으로 중국과의 연계성 강력
  • 주요 타깃은 텔레콤 인프라, 자격 증명 수집, 네트워크 인텔리전스 획득 등
• 보안 권고
  • 외부 노출 웹서버에 대한 WAF 기반 페이로드 탐지 한계 인식 필요
  • 웹셸에 대한 탐지를 위해 메모리 기반 탐지 기법(e.g. YARA in-memory scan) 도입 필요
  • PowerShell 실행 우회 탐지 로직 개선, dll 기반 실행에 대한 모니터링 강화
  • 도메인 컨트롤러에 대한 정기적 계정 접근 패턴 분석 및 SharpView 등 비정상 호출 탐지 시나리오 구성
  • HTTP 터널링을 통한 내부망 C2 탐지를 위해 L7 DPI 및 내부 프록시 트래픽 분석 강화