SOC Prime Bias: 치명적

01 Jul 2026 09:05 UTC

아쿠아틱 판다 (어스 루스카): 캠페인, 악성코드 및 TTPs

Author Photo
SOC Prime Team linkedin icon 팔로우
아쿠아틱 판다 (어스 루스카): 캠페인, 악성코드 및 TTPs
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Aquatic Panda는 중국과 연계된 APT 그룹으로, 정보 수집과 산업 스파이 활동에 중점을 두고 있습니다. 이 그룹은 SprySOCKS, ShadowPad, BIOPASS RAT을 비롯한 다양한 멀웨어 아스날을 사용하여 주요 산업을 표적으로 삼습니다. 이들의 작전에는 Log4Shell 과 같은 취약점을 악용하고 고급 루트킷을 사용해 잠행을 유지하는 것이 포함됩니다.

조사

이 보고서는 Operation FishMedley와 VMware Horizon 서버를 포함한 여러 공격 캠페인을 개요로 보여줍니다. SprySOCKS 백도어의 기술적 설계, 커널 모드 루트킷 기능, 지속성 기능도 검사합니다. 또한 초기 접근, 실행, 방어 회피를 위한 그룹의 특정 TTPs도 분석됩니다.

완화

조직은 시뮬레이션 및 테스트 플랫폼을 사용하여 알려진 Aquatic Panda의 무역 기술에 대한 방어력을 검증해야 합니다. 주요 완화 조치에는 Log4j 취약점 패치가 포함됩니다 CVE-2021-44228 및 허가되지 않은 예약 작업이나 의심스러운 Windows 서비스 변경 사항을 모니터링하는 것이 있습니다. DLL 사이드로딩과 프로세스 인젝션 활동을 식별하기 위한 강력한 엔드포인트 탐지도 필수입니다.

대응

Aquatic Panda 활동이 감지되면 대응팀은 즉시 영향을 받은 시스템을 격리하여 횡적 이동을 중지시켜야 합니다. 조사 초점은 특히 Print Processors 또는 IFEO 설정 내의 무단 레지스트리 변경에 맞춰야 합니다. 포렌식 분석은 의심스러운 프로세스에서 메모리를 수집하고, 예약된 작업 및 Windows 서비스를 감사하는 것을 우선시해야 합니다.

"flowchart TD step_resource_development["자원 개발: 동형자 도메인 등록 및 JNDI/Log4Shell 툴 스테이징"] step_initial_access["초기 접근: VMware Horizon에서 Log4j (CVE-2021-44228) 취약점 악용"] step_execution["실행: PowerShell 다운로드 크래들, cmd/C를 사용한 curl/wget, 예약 작업 및 Windows 서비스"] step_persistence["지속성: Windows 서비스 생성, 예약 작업, Print Processor DLL 등록"] step_privilege_escalation["권한 상승: IFEO 인젝션 및 CreateProcessAsUserW를 통한 액세스 토큰 조작"] step_defense_impairment["방어 손상: ICMPv6 사칭을 통한 Windows 호스트 방화벽 수정"] step_credential_access["자격 증명 접근: LSASS 메모리 덤핑, SAM/SYSTEM 하이브 도난, 브라우저 자격 증명 도난 및 비밀번호 필터 DLL"] step_discovery["검색: 서비스, 프로세스, 시스템 정보, 소프트웨어 보안 제품 나열"] step_collection["수집: 키로깅 및 WinRAR을 사용한 데이터 아카이빙"] step_command_and_control["명령 및 제어: TCP/UDP/WebSockets와 AES-128 및 WFP 기반 트래픽 신호"] step_stealth["은닉: 커널 모드 루트킷 (RawWNPF), 프로세스 인젝션, DLL 사이드로딩 및 샌드박스 회피"] rules_for_step_stealth("<b>규칙 이름</b>: 의심스러운 프로세스 경로 (cmdline로)<br/><b>규칙 ID</b>: f28587e8-2aa1-4e6b-bdd1-ad0ce520346a") step_exfiltration["유출: C2 또는 Dropbox (dbxcli)를 통한 데이터 전송"] step_resource_development –>|leads_to| step_initial_access step_initial_access –>|leads_to| step_execution step_execution –>|leads_to| step_persistence step_persistence –>|leads_to| step_privilege_escalation step_privilege_escalation –>|leads_to| step_defense_impairment step_defense_impairment –>|leads_to| step_credential_access step_credential_access –>|leads_to| step_discovery step_discovery –>|leads_to| step_collection step_collection –>|leads_to| step_command_and_control step_command_and_control –>|leads_to| step_stealth step_stealth –>|leads_to| step_exfiltration step_stealth -.->|detected_by| rules_for_step_stealth "

공격 흐름

탐지

침투 혹은 유출을 위한 가능한 데이터 압축 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

서비스 나열 가능성 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

SAM/SYSTEM/SECURITY 덤핑 가능성 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

comsvcs.dll을 사용한 자격 증명 덤핑 가능성 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

comsvcs.dll을 사용한 자격 증명 덤핑 가능성 (PowerShell을 통해)

SOC 프라임 팀
2026년 6월 30일

CLI를 통한 의심스러운 방화벽 수정 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

비정상적인 시스템 프로세스 체인 (프로세스 생성을 통해)

SOC 프라임 팀
2026년 6월 30일

레지스트리 남용을 통한 가능한 접근성 기능 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

지속성 지점 가능성 [ASEP – 소프트웨어/NTUSER 하이브] (레지스트리 이벤트를 통해)

SOC 프라임 팀
2026년 6월 30일

지속성을 위한 의심스러운 서비스 생성 (시스템을 통해)

SOC 프라임 팀
2026년 6월 30일

드문 프로세스에 의한 서비스 이미지 작업 (레지스트리 이벤트를 통해)

SOC 프라임 팀
2026년 6월 30일

[cmd.exe /C]를 통한 의심스러운 실행 파일/스크립트 실행 위치 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

프로세스 생성에서 PowerShell 명령줄을 통해 의심스러운 .NET 클래스/메서드 호출

SOC 프라임 팀
2026년 6월 30일

Schtasks가 의심스러운 디렉토리/바이너리/스크립트를 가리킴 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

의심스러운 프로세스 경로 (cmdline을 통해)

SOC 프라임 팀
2026년 6월 30일

프로세스 호로잉 메모리 할당 [Windows Sysmon]

SOC 프라임 AI 규칙
2026년 6월 30일

디버거 하이재킹 및 Print Processor 지속성을 위한 레지스트리 수정 [Windows 레지스트리 이벤트]

SOC 프라임 AI 규칙
2026년 6월 30일

예약 작업 생성 및 PowerShell 악성 다운로드 [Windows 프로세스 생성]

SOC 프라임 AI 규칙
2026년 6월 30일

## 시뮬레이션 실행

전제 조건: Telemetry 및 Baseline Pre-flight Check가 통과되었어야 합니다.

근거: 이 섹션은 탐지 규칙을 트리거하기 위한 적 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서술은 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 로직에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 것입니다.

  • 공격 서사 & 명령어: 공격자는 합법적인 프로세스 컨테이너 내에 악성 코드를 숨기기 위해 프로세스 호로잉을 수행하려고 합니다. 현재의 (비록 결함 있는) 탐지 트리거가 활성화되는지 테스트하기 위해 공격자는 powershell.exe 를 특정 디렉토리에서 실행합니다. 이는 공격자가 표준 시스템 도구를 사용하여 메모리 인젝션 또는 자격 증명 수확 등의 악의적인 활동을 시작하는 행동인 Living-off-the-Land (LotL) 공격의 초기 단계를 시뮬레이션한 것입니다. 목표는 프로세스 생성 이벤트를 생성하는 것인데, 이는 탐지 로직에 정의된 대로 이미지 필드에 백슬래시를 포함합니다.

  • 회귀 테스트 스크립트:

     # (약한) 탐지 로직을 만족하는 프로세스 실행 시뮬레이션
      # 이는 표준 도구를 사용하는 적의 세션 시작을 모방합니다
      $targetProcess = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
      Write-Host "실행 중: $targetProcess"
      Start-Process -FilePath $targetProcess -ArgumentList "-NoProfile -ExecutionPolicy Bypass -Command Write-Host '시뮬레이션 활성화'"
  • 정리 명령:

     # 지속적인 변경 사항이 없으므로 이 시뮬레이션에 대한 정리가 필요하지 않습니다.
      Write-Host "시뮬레이션 정리 완료."