SOC Prime Bias: 위험

12 1월 2026 18:32
newspaper icon Cisco Talos 블로그

UAT-7290, 아시아 남부의 고가치 통신 인프라 겨냥

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
UAT-7290, 아시아 남부의 고가치 통신 인프라 겨냥
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

UAT-7290은 적어도 2022년부터 활동한 것으로 평가되는 중국 연계의 고급 지속 위협 그룹입니다. 주로 엣지 네트워크 장치에 대한 초기 접근을 우선시하며, 남아시아의 통신 제공자에 대한 스파이 활동을 수행하고 있으며, 최근에는 남유럽으로 활동이 확장되었습니다. 이 그룹의 도구 집합에는 Linux 임플란트인 RushDrop, DriveSwitch, SilentRaid, Bulbature와 Windows 페이로드인 RedLeaves 및 ShadowPad가 포함됩니다. UAT-7290은 다른 위협 행위자에게 트래픽을 중계할 수 있는 Operational Relay Box (ORB) 인프라를 유지하고 있습니다.

조사

Cisco Talos는 관련 샘플을 분석하고, RushDrop 드로퍼가 숨겨진 .pkgdb 디렉터리를 생성하는 것으로 시작하는 단계적인 Linux 감염 체인을 문서화했습니다. 이후 단계에서는 DriveSwitch와 주요 임플란트 SilentRaid가 배포됩니다. 이러한 구성 요소는 공용 리졸버를 통한 DNS 해석을 사용하여 명령 및 제어에 도달하며, 명령 실행, 파일 관리 및 역셸 수립 등의 기능을 지원합니다. Bulbature는 ORB 노드로 기능하며, 설정 가능한 포트에서 리스닝하고 많은 중국 호스팅 시스템에서 관찰된 것과 같은 반복적인 자체 서명 인증서를 사용합니다.

완화

기본 자격 증명을 제거하고 관리 노출을 제한하며 알려진 1일 취약점을 신속하게 패치하여 엣지 네트워크 장치를 강화하십시오. 공용 리졸버로 라우팅된 예상치 못한 쿼리를 포함한 비정상적인 DNS 동작을 모니터링하고 숨겨진 디렉토리 내에 나타나는 낯선 바이너리와 이례적인 BusyBox 명령 사용을 모니터링하십시오. 관련된 ClamAV 서명 및 Snort SID 65124를 탐지할 수 있는 엔드포인트 및 네트워크 보호 기능을 배포하고 경보가 SOC 워크플로우와 연결되도록 보장하십시오.

대응

의심스러운 활동이 발견되면, 영향을 받은 장치를 격리하고 휘발성 메모리 및 디스크 이미지를 캡처하며, 확인된 C2 도메인 또는 IP 주소를 즉시 차단하십시오. .pkgdb 디렉토리, /tmp 구성 아티팩트, 생성된 리버스 셸의 증거에 대한 표적 포렌식을 수행하십시오. 손상된 자격 증명을 재설정하고 SSH 키를 회전하며 환경 내에 ORB 노드가 운영 중이지 않음을 확인하십시오.

“graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% 정찰 단계 phase_recon[“<b>단계</b> – 정찰”] class phase_recon action tech_active_scanning[“<b>기법</b> – T1595 액티브 스캐닝<br><b>설명</b>: 대상 인프라의 서비스, 버전 및 구성을 식별함.”] class tech_active_scanning action tech_search_closed_sources[“<b>기법</b> – T1597.001 닫힌 소스 검색<br><b>설명</b>: 벤더 보고서 및 기타 비공개 소스에서 정보 수집.”] class tech_search_closed_sources action %% 초기 접근 단계 phase_initial[“<b>단계</b> – 초기 접근”] class phase_initial action tech_exploit_public_facing[“<b>기법</b> – T1190 인터넷 노출 애플리케이션 이용<br><b>설명</b>: 인터넷 노출 장치의 취약점을 사용하여 기반 마련.”] class tech_exploit_public_facing action tech_ssh_remote[“<b>기법</b> – T1021.004 원격 서비스 (SSH)<br><b>설명</b>: SSH를 통해 대상 장치에 액세스함.”] class tech_ssh_remote action tech_ssh_hijack[“<b>기법</b> – T1563.001 원격 서비스 세션 하이재킹<br><b>설명</b>: 인증을 우회하기 위해 기존 SSH 세션을 하이재킹함.”] class tech_ssh_hijack action tool_bruteforce[“<b>툴</b> – 이름: SSH 무차별 대입 스크립트<br/><b>설명</b>: SSH 서비스에 대한 자격 증명 추측 시도.”] class tool_bruteforce tool %% 실행 및 방어 회피 단계 phase_exec[“<b>단계</b> – 실행 및 방어 회피”] class phase_exec action tech_vm_evasion[“<b>기법</b> – T1497 가상화/샌드박스 회피<br><b>설명</b>: 분석 환경을 감지하고 동작을 수정함.”] class tech_vm_evasion action tech_unix_shell[“<b>기법</b> – T1059.004 명령 및 스크립팅 인터프리터: Unix 셸<br><b>설명</b>: /bin/sh 또는 busybox를 통해 명령 실행.”] class tech_unix_shell action tech_obfuscation[“<b>기법</b> – T1027 난독화된 파일 또는 정보<br><b>설명</b>: 악성 코드를 숨기기 위해 패킹 또는 인코딩 사용.”] class tech_obfuscation action tech_data_obfuscation[“<b>기법</b> – T1001 데이터 난독화<br><b>설명</b>: 탐지를 피하기 위해 데이터를 변경함.”] class tech_data_obfuscation action tech_masquerade[“<b>기법</b> – T1036.008 가장: 파일 유형 가장<br><b>설명</b>: 실행 파일을 합법적인 파일처럼 보이도록 이름을 변경함.”] class tech_masquerade action malware_rushdrop[“<b>악성코드</b> – 이름: RushDrop<br/><b>설명</b>: UPX로 압축된 익스플로잇 후 배달된 페이로드.”] class malware_rushdrop malware malware_driveswitch[“<b>악성코드</b> – 이름: DriveSwitch<br/><b>설명</b>: 명령 실행에 busybox를 사용함.”] class malware_driveswitch malware %% 권한 상승 단계 phase_priv_esc[“<b>단계</b> – 권한 상승”] class phase_priv_esc action tech_exploit_priv[“<b>기법</b> – T1068 권한 상승을 위한 익스플로잇<br><b>설명</b>: 취약한 컴포넌트를 활용하여 더 높은 권한 획득.”] class tech_exploit_priv action tech_abuse_elevation[“<b>기법</b> – T1548 권한 상승 제어 메커니즘 남용<br><b>설명</b>: 고급 권한 부여 메커니즘을 조작함.”] class tech_abuse_elevation action %% 자격 증명 접근 및 발견 단계 phase_cred_disc[“<b>단계</b> – 자격 증명 접근 및 발견”] class phase_cred_disc action tech_credential_dump[“<b>기법</b> – T1003.008 OS 자격 증명 덤프<br><b>설명</b>: /etc/passwd 및 /etc/shadow에서 비밀번호를 읽음.”] class tech_credential_dump action tech_system_info[“<b>기법</b> – T1082 시스템 정보 발견<br><b>설명</b>: 호스트명, OS 버전 및 하드웨어 세부 정보 수집.”] class tech_system_info action tech_software_collect[“<b>기법</b> – T1592.002 피해자 호스트 정보 수집: 소프트웨어<br><b>설명</b>: 설치된 소프트웨어 패키지 나열.”] class tech_software_collect action tech_hardware_collect[“<b>기법</b> – T1592.001 피해자 호스트 정보 수집: 하드웨어<br><b>설명</b>: CPU, 메모리 및 장치 데이터 수집.”] class tech_hardware_collect action %% 수평 이동 단계 phase_lateral[“<b>단계</b> – 수평 이동”] class phase_lateral action tech_internal_proxy[“<b>기법</b> – T1090.001 프록시: 내부 프록시<br><b>설명</b>: 손상된 내부 호스트를 통해 트래픽을 릴레이함.”] class tech_internal_proxy action tech_external_proxy[“<b>기법</b> – T1090.002 프록시: 외부 프록시<br><b>설명</b>: 원본을 숨기기 위해 외부 프록시 서비스 사용.”] class tech_external_proxy action tech_protocol_tunnel[“<b>기법</b> – T1572 프로토콜 터널링<br><b>설명</b>: 허용된 프로토콜 내에 트래픽을 캡슐화함.”] class tech_protocol_tunnel action tech_nonstandard_port[“<b>기법</b> – T1571 비표준 포트<br><b>설명</b>: 탐지를 피하기 위해 비일반적인 포트를 통해 통신함.”] class tech_nonstandard_port action %% 명령 및 제어 단계 phase_c2[“<b>단계</b> – 명령 및 제어”] class phase_c2 action tech_dead_drop[“<b>기법</b> – T1102.001 웹 서비스: 데드 드롭 리졸버<br><b>설명</b>: 공개 DNS 쿼리를 통해 C2 도메인 해석.”] class tech_dead_drop action tech_one_way[“<b>기법</b> – T1102.003 웹 서비스: 일방 통신<br><b>설명</b>: 응답없이 DNS를 통해 C2로 데이터 전송.”] class tech_one_way action tech_data_encoding[“<b>기법</b> – T1132 데이터 인코딩<br><b>설명</b>: 전송 전에 명령 결과를 인코딩함.”] class tech_data_encoding action %% 연결 phase_recon u002du002d>|사용| tech_active_scanning phase_recon u002du002d>|사용| tech_search_closed_sources phase_initial u002du002d>|활용| tech_exploit_public_facing phase_initial u002du002d>|활용| tech_ssh_remote phase_initial u002du002d>|활용| tech_ssh_hijack phase_initial u002du002d>|사용| tool_bruteforce phase_exec u002du002d>|고용| tech_vm_evasion phase_exec u002du002d>|실행| tech_unix_shell phase_exec u002du002d>|적용| tech_obfuscation phase_exec u002du002d>|적용| tech_data_obfuscation phase_exec u002du002d>|적용| tech_masquerade phase_exec u002du002d>|전달| malware_rushdrop phase_exec u002du002d>|전달| malware_driveswitch phase_priv_esc u002du002d>|사용| tech_exploit_priv phase_priv_esc u002du002d>|사용| tech_abuse_elevation phase_cred_disc u002du002d>|수행| tech_credential_dump phase_cred_disc u002du002d>|수행| tech_system_info phase_cred_disc u002du002d>|수행| tech_software_collect phase_cred_disc u002du002d>|수행| tech_hardware_collect phase_lateral u002du002d>|설립| tech_internal_proxy phase_lateral u002du002d>|설립| tech_external_proxy phase_lateral u002du002d>|활용| tech_protocol_tunnel phase_lateral u002du002d>|활용| tech_nonstandard_port phase_c2 u002du002d>|해결| tech_dead_drop phase_c2 u002du002d>|전송| tech_one_way phase_c2 u002du002d>|인코딩| tech_data_encoding “

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하는 데 설계된 적의 기술(TTP)에 대한 정확한 실행을 설명합니다. 명령 및 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 로직에서 예상되는 정확한 텔레메트리를 생성하는 것이 목표입니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 것입니다.

  • 공격 설명 및 명령:

    1. 초기 드로퍼 실행 (T1480.002):
      공격자는 RushDrop 바이너리를 실행하며, 페이로드의 일환으로 숨겨진 디렉토리 .pkgdb 를 현재 작업 디렉토리에 생성합니다.

      ./RushDrop --install .pkgdb

    2. 특권 구성요소 실행 (T1569):
      드로퍼는 그 후 SilentRaid 를 시작하며, 악성 모듈을 로드하기 위한 플러그인 인수를 사용하여 시스템 서비스를 통해 지속성을 확립합니다.

      sudo ./SilentRaid --load plugins

    3. 네트워크 발견 (T1016.001):
      마지막으로, 악성 소프트웨어는 내부 네트워크를 매핑하기 위해 라우팅 정보를 수집합니다:

      cat /proc/net/route

    이 세 가지 명령 줄 조각이 함께 나타나면 (또는 첫 번째 두 개가 함께 나타나고 and 세 번째가 대안으로), 시그마 규칙 조건은 참으로 평가되어 경고를 생성합니다.

  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
#
# UAT‑7290 탐지 검증 스크립트
# 시그마 규칙이 요구하는 정확한 명령 줄 패턴을 시뮬레이션합니다.
#
set -euo pipefail

# 1. 임시 작업 디렉토리 생성
WORKDIR=$(mktemp -d)
cd "$WORKDIR"

# 2. RushDrop 바이너리 시뮬레이션
echo -e '#!/usr/bin/env bashnecho "RushDrop executed"' > RushDrop
chmod +x RushDrop

# 3. .pkgdb 인수를 사용하여 RushDrop 실행 (폴더 생성)
./RushDrop --install .pkgdb
mkdir -p .pkgdb   # 드로퍼 동작 모방

# 4. SilentRaid 바이너리 시뮬레이션
echo -e '#!/usr/bin/env bashnecho "SilentRaid loaded plugins"' > SilentRaid
chmod +x SilentRaid

# 5. 플러그인 인수로 SilentRaid 실행 (현실성을 위해 sudo 필요)
sudo ./SilentRaid --load plugins

# 6. 네트워크 발견 명령
cat /proc/net/route

# 7. 정리 (필요 시 수동 검사 위해 유지)
# rm -rf "$WORKDIR"

  • 정리 명령:

    # 테스트 중 생성된 임시 디렉토리 및 모든 아티팩트 제거
sudo rm -rf "$WORKDIR"
# 잔류 이벤트가 남지 않도록 auditd 큐 비우기
sudo auditctl -D
# 기본 규칙 복원을 위해 auditd 재시작
sudo systemctl restart auditd

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입