중국 연계 위버 앤트 그룹, 아시아 통신사 장기 침투 사례 분석

중국 연계 그룹, 아시아 통신사서 4년간 정보 탈취 - 데이터넷

중국 연계 그룹, 아시아 통신사서 4년간 정보 탈취 - 데이터넷

 

• 공격 개요
  • 위버 앤트(Weaver Ant)는 중국 연계 위협 그룹으로 아시아 주요 통신사 네트워크에 4년 이상 잠입
  • 침투 사실이 알려지지 않은 서버를 통해 최초 접근 후, 지속적으로 민감 정보 수집
  • 웹셸 기반 원격 제어와 은폐 기술로 탐지를 회피하며 장기적 침입 유지
• 사용된 주요 악성 도구 및 기법
  • 차이나 초퍼(China Chopper) 웹셸의 변형 사용
    • 'password', 'key', 'pass' 등 키워드를 매개변수 이름으로 활용해 WAF 탐지 회피
    • 대용량 페이로드로 WAF 문자 제한 우회 및 포렌식 분석 방해
  • 인메모리 웹셸(INMemory WebShell) 활용
    • GZipped Base64로 인코딩된 문자열을 메모리에서 디코딩 및 실행
    • PE 파일 'eval.dll'을 통해 탐지 회피 및 프록시 트래픽 캡슐화 수행
  • 악성 페이로드는 다층 암호화·난독화·캡슐화 구조(마트료시카 구조)
• 은폐 및 회피 기법
  • 악성 모듈을 메모리에 직접 로딩하여 파일 기반 탐지 회피
  • 윈도우 이벤트 추적(ETW) 조작 및 AMSI 우회를 위한 함수 덮어쓰기
  • 파워셸을 실행하지 않고도 명령 실행하는 우회 기술 적용
  • SMB 프로토콜을 활용한 측면이동(Lateral Movement) 수행
  • AD 포레스트 내 다수의 도메인 컨트롤러를 통해 권한 상승 및 내부 확장
• 공격 인프라 특성
  • 공격자 활동은 GMT+8 시간대의 정규 근무일 중심으로 이루어짐
  • IoT 기기, 스마트 장치, 구형 라우터, VPS 등을 활용한 ORB 네트워크를 통해 인프라 은폐
  • 인프라 프록시 체인을 통해 명령 트래픽을 재전송 및 소스 은폐
• 공격 목적 및 전략적 특성
  • 산업 및 지리적으로 전략적 가치가 높은 조직을 집중 타깃
  • 도구, 인프라, 인력 등 APT 전형적인 공유 기반 작전 수행
  • 탐지 우회를 위한 기술적 진화와 운영 방식 최적화를 지속적으로 진행
• 보안 권고
  • 최소권한 원칙에 기반한 접근제어 정책 강화
  • AD 및 도메인 컨트롤러에 대한 정기적인 권한 검토 및 로깅 설정 강화
  • EDR 및 XDR 솔루션 기반 메모리 기반 공격 탐지 기능 활성화
  • WAF 필터링 정책 정교화 및 비정상 페이로드 탐지 로직 고도화
  • 내부 관리 트래픽과 외부 명령 트래픽 간 식별 체계 확립 및 차단 정책 적용