<aside>
<img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**
</aside>
시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Turla: Metasploit Framework를 활용한 고급 침투 및 C2 인프라 구축
</aside>
목차
APT10은 MenuPass, Stone Panda, Red Apollo, CVNX, POTASSIUM, Cicada 등 다양한 이름으로 알려진 정교한 사이버 스파이 그룹입니다. 이 그룹은 2006년부터 활동해왔으며, 중국 국가안전부(MSS) 톈진 지부와 연계된 것으로 강력히 추정됩니다. 본 보고서는 제공된 연구 자료를 기반으로 APT10이 공격 캠페인에서 활용한 오픈소스 도구를 식별하고 분석하는 데 중점을 둡니다.
주요 분석 결과에 따르면, APT10은 크리덴셜 탈취, 측면 이동, 정찰 등 핵심 공격 단계에서 오픈소스 도구를 적극적으로 활용하며, 이를 "Operation Cloud Hopper"와 같은 광범위한 캠페인에 통합합니다. 이들은 오픈소스 도구, 자체 개발 맞춤형 멀웨어, 그리고 시스템에 내장된 기능을 악용하는 'Living off the Land'(LotL) 기법을 실용적으로 혼합하여 사용하는 특징을 보입니다.
| 항목 | 내용 |
|---|---|
| 그룹명 | APT10, MenuPass, Stone Panda, Red Apollo, CVNX, POTASSIUM, Cicada등 |
| 활동 시기 | 2006년 ~ 현재 |
| 주요 대상 | 정보 탈취 및 스파이 활동으로, 특히 중국의 국가 안보 및 경제적 목표 달성을 지원하기 위한 지적 재산(IP) 및 기밀 비즈니스 정보 절취에 초점 |
| 추정 배후 | 중국 국가안전부(MSS) 톈진 지부 |
| 공격 특징 | 자체 개발 악성코드(예: SodaMaster, RedLeaves, SNUGRIDE, ChChes), 유명 RAT(PlugX, QuasarRAT, Poison Ivy, Gh0st RAT), 오픈소스 도구(Mimikatz, PowerSploit, Impacket, BloodHound 등), 그리고 시스템 내장 유틸리티(PowerShell, certutil, WMI 등)를 혼합하여 사용하는 하이브리드 전략 구사 |