2025년의 Gamaredon: 터널, 작업자, 휴면 드롭 및 새로운 동맹
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
러시아와 연계된 APT 그룹인 Gamaredon이 2025년에 운영 방식을 더욱 발전시켜 합법적인 서드파티 서비스를 악용, 명령 및 제어 기반구조와 데이터 절도 활동을 숨기고 있습니다. 이 그룹은 터널링, 워커, Telegram과 Dropbox 같은 데드드롭 플랫폼을 이용하여 악성 트래픽을 은폐합니다. 또한 새 PowerShell 기반 도구를 소개하고 파일 훔치기를 업데이트하여 S3 호환 클라우드 저장소로의 탈출을 지원합니다.
조사
ESET Research는 Gamaredon의 2025년 운영을 검토하고 HTML 스머글링 기술과 결합된 대규모 스피어 피싱 캠페인으로 전환하는 것을 관찰했습니다. 새로운 배달 도구, 클라우드플레어 워커와 터널을 더욱 많이 사용하고 계속해서 데드드롭 해결자를 사용하는 것을 조사했습니다. 연구원들은 또한 Turla를 포함한 다른 러시아 연계 연기자들과의 협력을 문서화했습니다.
완화
방어자는 합법적인 클라우드 저장소 플랫폼과 서버리스 서비스로의 비정상적인 아웃바운드 연결을 주시해야 합니다. HTA 및 VBScript 실행에 대한 엄격한 제어를 시행하여 초기 감염 단계의 차단을 도울 수 있습니다. 동적 DNS 서비스와 일반적으로 사용되는 데드드롭 플랫폼의 남용 감시도 권장됩니다.
대응
Gamaredon 활동이 감지되면 영향을 받은 시스템을 즉시 고립시켜 무기화된 USB 장치나 네트워크 공유를 통해 추가적인 이동을 방지해야 합니다. 조사원들은 클라우드 저장소 계정에 대한 무단 엑세스에 대한 전면적인 검토를 수행해야 합니다. 텔레메트리는 그룹과 연계된 알려진 터널 및 워커 서비스에 대한 연결을 확인하기 위해 점검해야 합니다.
공격 흐름
탐지
서드파티 서비스 / 도구를 통한 가능한 데이터 침투 / 탈출 / C2 (cmdline을 통해)
보기
서드파티 서비스 / 도구를 통한 가능한 데이터 침투 / 탈출 / C2 (dns_query를 통해)
보기
네트워크 연결을 통한 의심스러운 프로세스 DNS 쿼리 알려진 남용 웹 서비스
보기
Visual Studio Code API 남용으로 추정되는 C2 채널 사용 (dns_query를 통해)
보기
Visual Studio Code API 남용으로 추정되는 C2 채널 사용(프록시를 통해)
보기
dns를 통한 Trycloudflare 도메인 통신 의심
보기
자동 시작 위치의 의심스러운 이진 파일 / 스크립트 (file_event를 통해)
보기
가능한 CVE-2025-8088 / CVE-2025-6218 (WinRAR 취약점) 악용 시도 (file_event를 통해)
보기
명령 및 제어 채널로서의 가능한 Telegram 남용 (dns_query를 통해)
보기
PteroSetup 및 WinRAR CVE-2025-8088 악용 탐지 [Windows 프로세스 생성]
보기
Gamaredon’s PowerShell 다운로드기 탐지 [Windows Powershell]
보기
시뮬레이션 실행
필수조건: 텔레메트리 및 기준선 출발 전 체크가 통과해야 한다.
이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대적 기법(TTP)의 정확한 실행을 상세히 설명합니다. 커맨드와 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에서 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 잘못된 진단을 초래할 것입니다.
-
공격 서사 및 명령: 적대자는 2차 단계 페이로드를 다운로드하여 발판을 마련하려고 합니다. 기본 서명 기반 도구에 의한 탐지를 피하기 위해, 그들은 일반적으로 특정 다운로드 모듈을 사용합니다. 이 시뮬레이션에서는 먼저 규칙이 작동하는지 확인하기 위해 ‘감지 가능한’ 버전을 실행하고, 규칙의 약점을 보여주기 위해 ‘난독화된’ 버전을 실행할 것입니다. 목표는
클라우드 호스팅된 파일에서 C2 명령을 가져오는 모듈을 시뮬레이션하는 것입니다.클라우드 호스팅된 파일에서 C2 명령을 가져오는 모듈을 시뮬레이션하는 것입니다. -
회귀 테스트 스크립트:
# --- 파트 1: 성공적인 탐지 ("소리 높은" 공격) --- Write-Host "[+] 감지 가능한 커맨드를 실행합니다..." powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'PteroDee 다운로드기를 초기화합니다...'; Start-Sleep -s 2}" # --- 파트 2: 회피 테스트 ("스텔스" 공격) --- # 이는 적대자가 문자열 연결을 사용하여 규칙을 우회하는 방법을 보여줍니다. Write-Host "[+] 난독화된 명령을 실행합니다 (회피)..." $part1 = "Ptero" $part2 = "Dee" $cmd = "& {Write-Host '초기화 ' + '$part1' + '$part2' + ' 다운로드기를 초기화...'; Start-Sleep -s 2}" powershell.exe -ExecutionPolicy Bypass -Command $cmd Write-Host "[+] 시뮬레이션 완료." -
정리 명령:
# 시스템에 영구적인 변경사항 없음. # 현재 세션의 PowerShell 기록을 간단히 지웁니다. Clear-History