시리즈 연재
<aside>
🎯 Vol.1 UAT-5918: 대만 중요 인프라를 노린 오픈소스 무기화 공격 분석 🎯 Vol.2 Lazarus 그룹: Impacket을 활용한 lateral movement 공격 분석 🎯 Vol.3 APT28 (Fancy Bear): Mimikatz와 PowerSploit을 활용한 권한 상승과 내부 침투 🎯 Vol.4 APT10: QuasarRAT과 PlugX를 활용한 장기 침투 및 정보 수집 작전 🎯 Vol.5 UNC2452 (SolarWinds 공격자): Cobalt Strike를 활용한 침투 후 활동 정밀 분석 🎯 Vol.6 FIN7: Carbanak과 AutoIt을 이용한 금융 시스템 침투 및 제어 🎯 vol.7 APT33: Ruler와 Roadtools를 활용한 정보 수집 및 내부 정찰 작전 🎯 Vol.8 Silent Librarian (TA407): 웹사이트 복제 도구를 활용한 학술기관 대상 피싱 공격 🎯 Vol.9 APT41: C2concealer와 ShadowPad를 활용한 공급망 침투 및 은닉 C2 인프라 구축 🎯 Vol.10 Earth Lusca: 오픈소스 정찰 도구와 커스텀 배포 스크립트를 활용한 사이버 첩보 작전 분석
</aside>
목차
APT41은 금전적 동기와 국가적 지원을 받는 첩보 활동을 동시에 수행하는 것으로 알려진 고도로 정교한 사이버 위협 그룹입니다. 이들의 활동은 전 세계 다양한 산업 분야에 걸쳐 광범위하게 나타나며, 특히 지능적인 공격 기법과 방대한 악성코드 사용으로 악명이 높습니다.
APT41의 이중적 동기는 이들을 다른 많은 국가 지원 그룹과 구별짓는 독특한 특징이며, 공격 목표와 방식을 예측하기 어렵게 만들어 방어자에게 심각한 도전 과제를 제기합니다. 이들은 새로운 취약점을 신속하게 공격에 활용하고, 탐지를 회피하기 위해 지속적으로 전술, 기술, 절차(TTPs)를 발전시키는 등 높은 수준의 운영 능력과 적응성을 보여주고 있습니다.
| 항목 | 내용 |
|---|---|
| 그룹명 | APT41 (주요 명칭), BARIUM, BRASS TYPHOON, WICKED PANDA, Double Dragon, Winnti (초기 활동 연관), 기타 다수 (Amoeba, BRONZE ATLAS, HOODOO 등) |
| 활동 시기 | 2010년 ~ 2024년 7월 (APT41 DUST 캠페인 수행) |
| 주요 대상 | 전 세계 광범위한 산업 분야 및 지역 대상. 첩보 활동: 의료, 통신, 첨단 기술, 고등 교육, 정부, 항공우주/방위산업, 자동차, 금융, 제조 등. 금전적 이득: 비디오 게임 산업 (개발사, 유통사), 도박 분야. 주요 대상 지역: 미국, 유럽 (이탈리아, 스페인, 영국 등), 아시아 (대만, 인도, 중국, 일본 등), 호주, 캐나다 등. |
| 추정 배후/지역 | 중화인민공화국 정부 지원 강력 추정. 활동 근거지는 중국 청두(Chengdu) 지역으로 추정되며, 중국 국가안전부(MSS)와 연관 가능성 제기. |
| 공격 특징 | 이중 동기 (국가 지원 첩보 및 금전적 이득 동시 추구), 광범위한 도구 사용 (46개 이상 악성코드군 및 도구: 자체 개발, 공개, 상용 도구 혼용), 공급망 공격 (합법적 소프트웨어 업데이트 악용), 신규 취약점(N-day) 신속 활용 (예: Log4j 취약점 공개 수 시간 내 악용), 정교한 악성코드 사용 (백도어, 루트킷, MBR 부트킷 등), 높은 적응성과 지속성 (탐지 시 악성코드 재컴파일 및 C2 인프라 신속 변경). |
| TTP 단계 (ATT&CK ID) | 도구 이름 | 주요 기능 | 활용 방식 |
|---|---|---|---|
| 정찰 (Reconnaissance) | Acunetix | 웹 취약점 스캐너 | 목표 웹 애플리케이션의 취약점 검색 및 분석 |
| Nmap | 네트워크 스캐너 | 활성 호스트, 열린 포트, 서비스 정보 등 네트워크 정보 수집 | |
| OneForAll, subdomain3, subDomainsBrute, Sublist3r | 하위 도메인 및 디렉터리 브루트포싱 도구 | 웹 서버의 하위 도메인 및 디렉터리 구조 파악 | |
| JexBoss | JBoss 등 자바 애플리케이션 취약점 탐색 및 공격 도구 | 자바 기반 애플리케이션의 취약점 식별 및 악용 시도 | |
| fofa.info | 인터넷 연결 장치 검색 엔진 (Shodan 유사) | 공개된 포트 및 서비스 정보를 수집하여 공격 대상 식별 | |
| 초기 침투 (Initial Access) | SQLmap | SQL 인젝션 자동화 도구 | 웹 애플리케이션의 SQL 인젝션 취약점을 악용하여 서버 제어권 획득 시도, 악성 파일(웹셸, 비콘) 업로드, 데이터베이스 정보 탈취 |
| YSoSerial.NET | .NET 역직렬화 페이로드 생성 도구 | .NET 기반 웹 애플리케이션의 역직렬화 취약점 공격 시 악성 페이로드 생성에 사용 (캠페인 C0017) | |
| 실행 (Execution) | PowerShell | 명령줄 셸 및 스크립팅 언어 | 악성 스크립트 실행, 리버스 셸 획득, 파일 다운로드 및 실행, PowerSploit 등 프레임워크 실행 |
| cmd.exe | Windows 명령 프롬프트 | 각종 명령어 실행, 배치 파일 실행, 다른 도구 실행의 매개체 | |
| DUSTTRAP | 악성 DLL 로드를 통한 코드 실행 | 정상 프로그램이 악의적으로 제작된 DLL을 로드하도록 유도하여 DUSTTRAP 코드 실행. | |
| Rundll32.exe | DLL 실행 유틸리티 | 악성 DLL 로더 실행 (DEADEYE, ZxShell 등) | |
| WMIC | WMI 명령줄 인터페이스 | 원격 시스템에서 프로세스 생성 및 악성 파일 실행, 지속성 확보를 위한 배치 파일 실행 (SideWalk 캠페인) | |
| 지속성 (Persistence) | SCHTASKS | 작업 스케줄러 | 악성 파일(DEADEYE 드롭퍼 등)을 특정 시간에 또는 시스템 시작 시 자동 실행하도록 예약, 기존 작업 수정 |
| DUSTPAN | Windows 서비스를 이용한 악성코드 지속 실행 | 악성코드를 Windows 서비스로 등록하여 시스템 재부팅 후에도 자동 실행되도록 설정. | |
| sc.exe | 서비스 제어 유틸리티 | 악성 실행 파일이나 스크립트(install.bat 등)를 서비스로 등록하여 시스템 시작 시 자동 실행 및 지속성 확보 (DUSTPAN, Cobalt Strike 등) | |
| ANTSWORD, BLUEBEAM, ASPXSpy, | |||
| China Chopper | 웹셸 관리 도구 또는 웹셸 자체 | 웹 서버에 설치되어 원격 명령 실행, 추가 악성코드 다운로드, 지속적인 접근 경로 확보 (DUSTPAN 실행에 ANTSWORD, BLUEBEAM 사용) | |
| ROCKBOOT | MBR 부트킷 | Windows 시스템의 마스터 부트 레코드(MBR)를 감염시켜 OS 부팅 전 단계에서 악성코드 실행 및 지속성 확보 | |
| 권한 상승 (Privilege Escalation) | BADPOTATO | 명명된 파이프 가장을 통한 로컬 권한 상승 도구 | ConfuserEx로 난독화된 BADPOTATO를 사용하여 NT AUTHORITY\SYSTEM 권한으로 상승 (캠페IN C0017) |
| 방어 회피 (Defense Evasion) | Certutil | 인증서 서비스 유틸리티 (파일 디코딩 기능 악용) | Base64 등으로 인코딩된 악성 페이로드(Cobalt Strike 비콘 등)를 디코딩하여 실행 가능한 파일로 변환. 웹셸을 통해 DUSTPAN 드롭퍼 다운로드 시 사용. (SideWalk 캠페인에서 웹셸 설치 시 사용) |
| Themida, VMProtect, ConfuserEx | 실행 파일 패커 및 난독화 도구 | 악성 파일을 패킹하거나 난독화하여 정적 분석 및 탐지 회피 (DEADEYE, KEYPLUG, BADPOTATO 등에 사용) | |
| del, rm | 파일 삭제 명령어 | 공격에 사용된 도구나 로그 파일 등 불필요한 파일 삭제하여 흔적 제거 | |
| 크리덴셜 접근 (Credential Access) | Mimikatz, Procdump | LSASS 프로세스 메모리 덤프 및 크리덴셜 추출 도구 | LSASS 프로세스 메모리를 덤프하여 일반 텍스트 암호, NTLM 해시, Kerberos 티켓 등 추출 |
| Mimikatz, (레지스트리 저장) | SAM 데이터베이스 접근 및 크리덴셜 추출 | SAM 파일 또는 레지스트리 하이브(SAM, SYSTEM)를 복사하여 로컬 계정의 NTLM 해시 추출 | |
| Ntdsutil, Impacket | NTDS.dit 파일 접근 및 크리덴셜 추출 | Active Directory 데이터베이스 파일(ntds.dit)의 사본을 획득하여 도메인 사용자 계정 정보 및 해시 추출 | |
| BrowserGhost | 웹 브라우저 저장 크리덴셜 추출 도구 | 웹 브라우저에 저장된 사용자 계정 정보 및 암호 탈취 | |
| Mimikatz | Pass-the-Hash 공격 도구 | 탈취한 NTLM 해시를 사용하여 암호 없이 다른 시스템에 인증 및 측면 이동 | |
| 탐색 (Discovery) | net user, net localgroup, dsquery | 계정 정보 수집 명령어 | 로컬 및 도메인 사용자 계정, 그룹 구성원 목록 등 확인 |
| systeminfo, whoami, ping (볼륨 시리얼) | 시스템 정보 수집 명령어 | OS 버전, 아키텍처, 호스트 이름, 현재 사용자, 볼륨 시리얼 번호 등 시스템 기본 구성 정보 수집 | |
| tasklist | 실행 중인 프로세스 목록 확인 명령어 | 원격 또는 로컬 시스템에서 실행 중인 프로세스 목록 확인 | |
| cping | SMB 취약점 스캔 도구 | 로컬 네트워크 내 SMB 공격에 취약한 컴퓨터 식별 | |
| ipconfig, reg query, ping %userdomain% | 네트워크 구성 정보 수집 명령어 | IP 주소, MAC 주소, DNS 서버, 도메인 정보, RDP 포트 등 네트워크 설정 정보 확인 | |
| ping, SETSPN | 원격 시스템 탐색 유틸리티 | ping을 사용하여 로컬 네트워크의 다른 장치 식별, SETSPN을 사용하여 도메인 내 특정 서비스(IIS, SQL 등) 실행 장치 식별 | |
| 측면 이동 (Lateral Movement) | psexec64 (Cobalt Strike), copy, Impacket | 원격 실행 및 파일 전송 도구 | Mimikatz, Cobalt Strike 비콘 등 악성 도구를 원격 시스템으로 복사 및 실행 |
| 수집 (Collection) | 7z.exe, rar, makecab.exe | 파일 압축 유틸리티 | 탈취 대상 파일을 압축(syslog.7z, iislog.7z 등)하여 외부 유출 준비, 또는 도구 다운로드 시 압축 해제 |
| vssadmin, esentutl | 볼륨 섀도 복사본 및 ESE 데이터베이스 유틸리티 | 볼륨 섀도 복사본에서 ntds.dit, 이벤트 로그 등 중요 파일 획득 | |
| SQLULDR2, PINEGROVE | 데이터베이스 및 시스템 정보 수집/유출 도구 | Oracle 데이터베이스에서 데이터(로컬 CSV 파일로 저장) 및 로컬 시스템 정보 수집 (APT41 DUST 캠페인) | |
| 명령 및 제어 (Command and Control) | Cobalt Strike, | ||
| HTTP/HTTPS 통신 | C2 서버와 HTTP/HTTPS 프로토콜을 사용하여 통신 (KEYPLUG는 WebSocket over TLS 사용) | ||
| ShadowPad | HTTP/HTTPS를 이용한 C2 통신 | HTTP 또는 HTTPS 프로토콜을 사용하여 C2 서버와 명령을 주고받거나 데이터를 전송. | |
| Gh0st RAT | 원격 관리 도구 (RAT) | 감염된 시스템에 대한 완전한 원격 제어 권한을 확보하고, 파일 시스템 접근, 프로세스 관리, 키로깅, 화면 캡처, 원격 셸 실행 등 다양한 C2 기능을 제공한다. | |
| njRAT | .NET 기반 원격 접근 트로이목마 (RAT) | 시스템 제어, 파일 관리, 키로깅, 웹캠 접근, 레지스트리 조작 등. 코드 난독화, 루트킷 기법 등으로 탐지 회피. | |
| Cobalt Strike | DNS 터널링 | DNS 프로토콜을 사용하여 C2 통신을 은닉 | |
| Cobalt Strike, Certutil, BITSAdmin, PowerShell | 파일 다운로드 기능 | C2 서버로부터 추가 악성코드, 도구, 스크립트 등을 감염된 시스템으로 다운로드 (DUSTPAN 드롭퍼 다운로드에 Certutil 사용) | |
| FRPC (frpc.exe) | 리버스 프록시 도구 | C2 트래픽을 프록싱하여 실제 C2 서버 주소 은닉 | |
| Cloudflare Workers | 서버리스 컴퓨팅 플랫폼 | C2 통신을 위해 Cloudflare Workers를 활용하여 서버리스 코드 배포 (APT41 DUST, C0017 캠페인) | |
| KEYPLUG | 데드 드롭 리졸버 | 기술 커뮤니티 포럼 게시물에 인코딩된 데이터를 숨겨 실제 C2 주소를 확인 (캠페인 C0017) | |
| 유출 (Exfiltration) | Cobalt Strike, | ||
| 자체 악성코드 | C2 채널을 통한 데이터 유출 | 기존에 구축된 C2 채널을 통해 수집한 데이터(서버 설정, 백업 데이터, 사용자 데이터 등)를 외부로 유출 | |
| Shadowpad | 기존 C2 채널을 통한 데이터 유출 | 이미 구축된 C2 통신 채널을 이용하여 수집한 데이터를 외부로 전송. | |
| PINEGROVE | 클라우드 스토리지 유출 도구 | 수집된 정보를 OneDrive와 같은 클라우드 스토리지로 유출 (APT41 DUST 캠페인) | |
| Ping | DNS를 이용한 데이터 유출 | 정찰 명령어 결과를 인코딩하여 하위 도메인 형태로 만들어 attacker-controlled 도메인으로 ping을 보내 DNS 조회를 통해 데이터 유출 (캠페인 C0017) |