APT15 사이버 첩보: 캠페인 및 TTP 분석
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
APT15는 2010년부터 활동 중인 중국 국가 후원 사이버 스파이 그룹으로, 주로 정부 기관, 외교 미션 및 군사 조직을 표적으로 삼습니다. 해당 그룹은 스피어 피싱, 공개 애플리케이션 악용 및 맞춤형 백도어를 통해 초기 접근을 획득하고 장기적인 거점을 유지합니다. 그들의 도구는 스테가노그래피, 마스커레이딩, 레지스트리 조작 및 HTTP 헤더 또는 DNS 트래픽에 내장된 암호화된 C2 채널을 포함합니다. 이 캠페인은 Graphican과 ORB3 릴레이 네트워크와 같은 새로운 도구로 진화하고 있습니다.
조사
조사는 여러 악성코드 패밀리(BS2005, TidePool, MirageFox, Graphican 등)와 초기 접근, 실행, 지속성, 권한 상승, 방어 회피, 인증 정보 접근, 탐색, 수집, 탈취 및 명령 및 제어에 걸친 포괄적인 ATT&CK 기법 세트를 매핑했습니다. 분석가들은 사건 데이터에서 도메인, 파일 경로, 레지스트리 키 및 명령어 라인을 포함한 구체적인 지표를 추출했습니다. 그룹의 인프라는 다음과 같은 도메인을 활용합니다. goback.stranged.net and finance.globaleducat.com C2 작업을 위해.
완화
권장 방어 조치는 이메일 첨부 파일의 철저한 스캔, Microsoft Exchange, SharePoint 및 VPN 장비의 즉각적인 패치, 그리고 의심스러운 레지스트리 수정, 비정상적인 예약 작업 및 rundll32 또는 COM 기반 페이로드 실행의 모니터링을 포함합니다. 네트워크 모니터링은 알려진 C2 패턴과 일치하는 비정상적인 HTTP 쿠키 활동 및 DNS TXT 쿼리에 중점을 두어야 합니다. 애플리케이션 화이트리스트 및 행동 분석은 이름이 변경된 압축기 및 스테가노그래피 기반 PNG 페이로드 사용을 차단하는 데 도움이 될 수 있습니다.
응답
APT15 활동이 감지되면, 영향을 받은 호스트를 격리하고 휘발성 데이터를 캡처하며 관련 IOC 아티팩트를 모두 수집하고 식별된 C2 도메인 및 IP 주소를 차단하십시오. 지속적인 바로 가기, 예약 작업 및 레지스트리 변경을 찾기 위한 전체 포렌식 분석을 수행한 후, 악성 구성 요소를 제거하고 손상된 자격 증명을 재설정하십시오. 영향을 받은 사용자에게 알리고 관찰된 명령어 라인, 파일 경로 및 인프라 지표를 포함하도록 탐지 규칙을 업데이트하십시오.
공격 흐름
탐지
명령 및 스크립팅 인터프리터를 통한 아카이브 소프트웨어 실행 (via process_creation)
보기
의심스러운 Powershell 문자열 (via powershell)
보기
의심스러운 Powershell 문자열 (via cmdline)
보기
자동 시작 위치에서의 의심스러운 바이너리 / 스크립트 (via file_event)
보기
문서 수집을 위한 XCOPY 실행 가능성 (via cmdline)
보기
Run 키에 추가된 의심스러운 파일 확장 [ASEPs] (via registry_event)
보기
IOCs (Emails) 탐지: APT15 사이버 스파이: 캠페인 및 TTP 분석
보기
APT15 명령 실행 및 지속 기법 탐지 [Windows 프로세스 생성]
보기
특정 HTTP 헤더를 통한 APT15 C2 통신 탐지 [Windows 네트워크 연결]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre‑flight Check가 통과되어야 합니다.
공격 내러티브 & 명령어:
- 준비: 적은 이미 사용자 계정을 손상시키고 엔드포인트에 상륙했습니다.
- 데이터 준비 (T1059.003): 정확한
xcopy과거 APT15 활동에서 관찰된 구문을 사용하여 공격자는 피해자의 데스크톱 파일을 숨겨진 WMI 임시 폴더로 복사하며, 시스템 활동에 자연스럽게 어우러지도록 타임스탬프를 유지합니다 (/D:09-29-2021). - 페이로드 실행 (T1218.002): 그 후 공격자는
rundll32.exe단명 경로 (C:DOCUME~1ALLUSE~1IEHelpermshtml.dll)를 사용하여 지속성을 키고자 악성 자바스크립트를 실행합니다. - 결과물: 두 명령은 모두 Sigma 규칙의
selection1andselection2와 각각 일치하는 구별되는 프로세스 생성 이벤트를 발생시키며 경고를 트리거합니다.
회귀 테스트 스크립트:
# -------------------------------------------------
# APT15 시뮬레이션 스크립트 – Sigma 규칙을 트리거
# -------------------------------------------------
# 1. 준비 디렉토리 및 더미 파일 생성
$src = "C:usersREDACTEDDesktop"
$dst = "C:windowstempwmi"
New-Item -Path $src -ItemType Directory -Force | Out-Null
New-Item -Path $dst -ItemType Directory -Force | Out-Null
Set-Content -Path "$srcsecret.txt" -Value "sensitive data" -Encoding UTF8
# 2. APT15에서 사용한 정확한 xcopy 명령어 실행
$xcopyCmd = "xcopy /D:09-29-2021 /S/Y/C c:usersREDACTEDDesktop c:windowstempwmi"
Invoke-Expression $xcopyCmd
# 3. 악성 DLL 배포 (합법적인 DLL 복제로 시뮬레이션)
$malDllSrc = "$env:SystemRootSystem32mshtml.dll"
$malDllDst = "C:DOCUME~1ALLUSE~1IEHelpermshtml.dll"
New-Item -Path (Split-Path $malDllDst) -ItemType Directory -Force | Out-Null
Copy-Item -Path $malDllSrc -Destination $malDllDst -Force
# 4. APT15 인수 패턴으로 rundll32 실행
$rundllCmd = "rundll32.exe C:DOCUME~1ALLUSE~1IEHelpermshtml.dll, IEHelper"
Invoke-Expression $rundllCmd
# -------------------------------------------------
# 시뮬레이션 종료
# -------------------------------------------------
정리 명령어:
# 준비 파일 및 디렉토리 제거
Remove-Item -Path "C:usersREDACTEDDesktopsecret.txt" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "C:windowstempwmi" -Recurse -Force -ErrorAction SilentlyContinue
# 가짜 IEHelper 폴더 및 DLL 제거
Remove-Item -Path "C:DOCUME~1ALLUSE~1IEHelper" -Recurse -Force -ErrorAction SilentlyContinue
# 선택 사항: Sysmon 중지 (테스트에만 필요할 경우)
# & "$env:ProgramFilesSysinternalsSysmon.exe" -u