<aside> <img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**

</aside>

시리즈 연재

<aside>

🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Turla: Metasploit Framework를 활용한 고급 침투 및 C2 인프라 구축

</aside>

목차

UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석

1. 공격 그룹 개요

UNC2452는 Nobelium, APT29, Cozy Bear, Midnight Blizzard 등 여러 이름으로 알려져 있으며, 러시아 대외정보국(SVR) 소속으로 추정되는 위협 행위자 그룹입니다. 본 보고서는 이들이 정교한 사이버 스파이 캠페인에서 상용 공격 도구와 오픈소스 유틸리티를 어떻게 결합하여 활용하는지에 초점을 맞춥니다.

분석 결과, UNC2452/APT29는 SUNBURST, GoldMax, MagicWeb과 같은 고유한 멀웨어와 Cobalt Strike 등 강력한 상용 프레임워크를 사용합니다. 동시에 공격 라이프사이클 전반에 걸쳐 다양한 오픈소스 도구를 전략적으로 통합하는 하이브리드(Hybrid) 전술을 구사하는 것이 특징입니다. 대표적으로 크리덴셜 접근 단계에서는 Mimikatz, Procdump를, Active Directory 정찰에는 AdFind, BloodHound를, 측면 이동에는 Impacket, PowerShell을, 명령 및 제어(C2)에는 Sliver, Tor를, 방어 회피 목적으로는 SDelete 등을 활용하는 모습이 식별되었습니다.

특히 이 그룹은 합법적인 웹 서비스나 클라우드 ID 관리 기능을 악용하여 공격을 수행하는 경향을 보이며, 이러한 과정에서 오픈소스 도구가 보조적으로 사용되기도 합니다. 오픈소스 도구의 활용은 공격의 은밀성과 적응성을 높이고 작전 규모 확장을 용이하게 만들어, 방어하는 입장에서는 탐지와 대응을 더욱 어렵게 만듭니다.