SOC Prime Bias: 위험

30 Jun 2026 07:05 UTC

2025년의 Gamaredon: 터널, 작업자, 휴면 드롭 및 새로운 동맹

Author Photo
SOC Prime Team linkedin icon 팔로우
2025년의 Gamaredon: 터널, 작업자, 휴면 드롭 및 새로운 동맹
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

러시아와 연계된 APT 그룹인 Gamaredon이 2025년에 운영 방식을 더욱 발전시켜 합법적인 서드파티 서비스를 악용, 명령 및 제어 기반구조와 데이터 절도 활동을 숨기고 있습니다. 이 그룹은 터널링, 워커, Telegram과 Dropbox 같은 데드드롭 플랫폼을 이용하여 악성 트래픽을 은폐합니다. 또한 새 PowerShell 기반 도구를 소개하고 파일 훔치기를 업데이트하여 S3 호환 클라우드 저장소로의 탈출을 지원합니다.

조사

ESET Research는 Gamaredon의 2025년 운영을 검토하고 HTML 스머글링 기술과 결합된 대규모 스피어 피싱 캠페인으로 전환하는 것을 관찰했습니다. 새로운 배달 도구, 클라우드플레어 워커와 터널을 더욱 많이 사용하고 계속해서 데드드롭 해결자를 사용하는 것을 조사했습니다. 연구원들은 또한 Turla를 포함한 다른 러시아 연계 연기자들과의 협력을 문서화했습니다.

완화

방어자는 합법적인 클라우드 저장소 플랫폼과 서버리스 서비스로의 비정상적인 아웃바운드 연결을 주시해야 합니다. HTA 및 VBScript 실행에 대한 엄격한 제어를 시행하여 초기 감염 단계의 차단을 도울 수 있습니다. 동적 DNS 서비스와 일반적으로 사용되는 데드드롭 플랫폼의 남용 감시도 권장됩니다.

대응

Gamaredon 활동이 감지되면 영향을 받은 시스템을 즉시 고립시켜 무기화된 USB 장치나 네트워크 공유를 통해 추가적인 이동을 방지해야 합니다. 조사원들은 클라우드 저장소 계정에 대한 무단 엑세스에 대한 전면적인 검토를 수행해야 합니다. 텔레메트리는 그룹과 연계된 알려진 터널 및 워커 서비스에 대한 연결을 확인하기 위해 점검해야 합니다.

공격 흐름

시뮬레이션 실행

필수조건: 텔레메트리 및 기준선 출발 전 체크가 통과해야 한다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대적 기법(TTP)의 정확한 실행을 상세히 설명합니다. 커맨드와 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에서 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 잘못된 진단을 초래할 것입니다.

  • 공격 서사 및 명령: 적대자는 2차 단계 페이로드를 다운로드하여 발판을 마련하려고 합니다. 기본 서명 기반 도구에 의한 탐지를 피하기 위해, 그들은 일반적으로 특정 다운로드 모듈을 사용합니다. 이 시뮬레이션에서는 먼저 규칙이 작동하는지 확인하기 위해 ‘감지 가능한’ 버전을 실행하고, 규칙의 약점을 보여주기 위해 ‘난독화된’ 버전을 실행할 것입니다. 목표는 클라우드 호스팅된 파일에서 C2 명령을 가져오는 모듈을 시뮬레이션하는 것입니다. 클라우드 호스팅된 파일에서 C2 명령을 가져오는 모듈을 시뮬레이션하는 것입니다.

  • 회귀 테스트 스크립트:

    # --- 파트 1: 성공적인 탐지 ("소리 높은" 공격) ---
    Write-Host "[+] 감지 가능한 커맨드를 실행합니다..."
    powershell.exe -ExecutionPolicy Bypass -Command "& {Write-Host 'PteroDee 다운로드기를 초기화합니다...'; Start-Sleep -s 2}"
    
    # --- 파트 2: 회피 테스트 ("스텔스" 공격) ---
    # 이는 적대자가 문자열 연결을 사용하여 규칙을 우회하는 방법을 보여줍니다.
    Write-Host "[+] 난독화된 명령을 실행합니다 (회피)..."
    $part1 = "Ptero"
    $part2 = "Dee"
    $cmd = "& {Write-Host '초기화 ' + '$part1' + '$part2' + ' 다운로드기를 초기화...'; Start-Sleep -s 2}"
    powershell.exe -ExecutionPolicy Bypass -Command $cmd
    
    Write-Host "[+] 시뮬레이션 완료."
  • 정리 명령:

    # 시스템에 영구적인 변경사항 없음. 
    # 현재 세션의 PowerShell 기록을 간단히 지웁니다.
    Clear-History