팔로우 
요약
이란과 연관된 사이버 활동은 점점 기존의 APT 팀에서 부트킷 스타일의 와이퍼를 사용하는 대리 운영자로 이동하고 있으며, 증가하는 CVE 범위를 악용하고 심지어 물리적 클라우드 인프라 파괴와 사이버 작전을 결합하고 있습니다. Rusty Boots와 MoKhargosh 같은 새로 추적된 클러스터는 부트킷 수준의 지속성을 보여주었고, HYDRO KITTEN은 Rockwell PLC와 인터넷에 노출된 네트워크 장치에 자격 증명 기반 침입 방법을 집중했습니다. 걸프 지역 클라우드 데이터 센터에 대한 물리적 공격은 하이브리드 사이버-물리적 도메인으로의 위험 확장을 더욱 확대합니다. 보고서는 OT 환경에서 펌웨어 무결성 검증과 행동 기반 탐지의 중요성을 강조합니다.
조사
보고서는 세 가지 주요 발전을 강조합니다. 첫째, Rusty Boots와 MoKhargosh는 부트킷 스타일의 지속성을 가진 와이퍼를 배포할 수 있는 능력을 보여주었습니다. 둘째, HYDRO KITTEN은 Rockwell 시스템, FortiGate, SonicWall, Ivanti, PAN-OS, OpenSSH에 영향을 미치는 여러 CVE를 악용했습니다. 셋째, UNC6446은 DUSTYPROXY와 ERIESNAKE.GO를 포함한 맞춤형 C#과 Golang 멀웨어를 사용하여 비암호화된 HTTP를 포트 443을 통해 터널링하여 소통하였습니다. 보고서는 또한 바레인과 두바이의 클라우드 인프라를 대상으로 한 물리적 공격을 참조합니다.
완화
조직은 방화벽, OT 자산 및 SSH 서비스 전반에 걸쳐 모든 참조된 CVE를 패치해야 하며, 안전한 부팅과 정기적인 펌웨어 무결성 검사를 시행해야 합니다. 방어 팀은 원시 디스크 쓰기 활동 및 MBR 또는 VBR 수정 사항을 모니터링하고, 포트 443을 통한 비암호화 HTTP 트래픽을 차단하며, 레지스트리 실행 키를 확인하여 낯선 실행 파일을 찾아야 하며, 승인된 유지보수 기간 외에 PLC 설정 변화 탐지를 위한 OT 행동 모니터링을 구현해야 합니다.
대응
방어자는 즉시 모든 공개된 IP 주소, 도메인, 파일 해시를 DNS, 프록시 및 엔드포인트 제어를 통해 차단해야 합니다. 탐지 콘텐츠는 TCP/443을 통한 비암호화 HTTP, 보안 부팅 무결성 실패, 새로운 레지스트리 실행 키 항목, 의심스러운 PLC 인증 행동에 대해 배포해야 합니다. 위협 사냥은 나열된 멀웨어 서명뿐만 아니라 사전 배치된 접근의 징후, 특히 긴 비활동 기간 후 갑작스러운 OT 관련 작업에 집중해야 합니다.
graph TB %% 클래스 정의 classDef technique fill:#e6f7ff classDef tool fill:#ffeb99 classDef malware fill:#ffcccc %% 기술 노드 technique_valid_accounts[“<b>기술</b> – T1078 유효한 계정<br/><b>설명</b>: 탈취되거나 획득된 인증 정보를 사용하여 초기 접근을 수행함.”] class technique_valid_accounts technique technique_exploit_remote[“<b>기술</b> – T1210 원격 서비스 공격<br/><b>설명</b>: 취약한 서비스(CVE-2021-26868, CVE-2024-0012, CVE-2024-5591 등)를 악용하여 측면 이동 및 시스템 제어 수행.”] class technique_exploit_remote technique technique_persistence_registry[“<b>기술</b> – T1547.001 레지스트리 실행 키 / 시작 프로그램 폴더<br/><b>설명</b>: HKCU/HKLM Run 키 또는 시작 프로그램 폴더를 이용해 지속성 확보.”] class technique_persistence_registry technique technique_c2_external_proxy[“<b>기술</b> – T1090.002 외부 프록시<br/><b>설명</b>: C2 트래픽을 외부 프록시 서버를 통해 라우팅하여 인프라를 은폐함.”] class technique_c2_external_proxy technique technique_c2_web[“<b>기술</b> – T1071.001 웹 프로토콜(HTTP/S)<br/><b>설명</b>: HTTP/S(TCP/443)를 이용한 C2 통신.”] class technique_c2_web technique technique_execution_ps[“<b>기술</b> – T1059.001 PowerShell<br/><b>설명</b>: PowerShell을 사용하여 파일 다운로드, 시스템 조작 및 페이로드 실행 수행.”] class technique_execution_ps technique technique_remote_access[“<b>기술</b> – T1219 원격 접근 도구<br/><b>설명</b>: 대화형 원격 세션을 제공하는 백도어 배포.”] class technique_remote_access technique technique_credential_exploit[“<b>기술</b> – T1212 인증 정보 악용<br/><b>설명</b>: 탈취된 인증 정보를 사용하여 장치에 직접 인증 수행.”] class technique_credential_exploit technique technique_impact_preos[“<b>기술</b> – T1542 Pre-OS 부팅<br/><b>설명</b>: 운영체제 이전 단계에서 부팅 구성 요소를 변경하여 영향력 확보.”] class technique_impact_preos technique technique_impact_data_destruction[“<b>기술</b> – T1485 데이터 파괴<br/><b>설명</b>: 중요한 데이터를 손상 또는 삭제함.”] class technique_impact_data_destruction technique technique_impact_disk_wipe[“<b>기술</b> – T1561.001 디스크 삭제<br/><b>설명</b>: 디스크 섹터를 덮어써 시스템을 사용 불가능하게 만듦.”] class technique_impact_disk_wipe technique %% 도구 및 멀웨어 tool_dustyproxy[“<b>도구</b> – DUSTYPROXY<br/><b>설명</b>: Run 레지스트리 키를 통해 설치되는 C# 프록시 클라이언트. 외부 프록시로 트래픽 전달.”] class tool_dustyproxy tool malware_eriesnake_go[“<b>멀웨어</b> – ERIESNAKE.GO<br/><b>설명</b>: Go 기반 백도어. 인터랙티브 세션 제공, PowerShell 실행, HTTP/443 통신 수행.”] class malware_eriesnake_go malware malware_rusty_boots[“<b>멀웨어</b> – Rusty Boots<br/><b>설명</b>: OS 재설치 후에도 유지되는 부트킷 와이퍼로 부팅 영역 손상.”] class malware_rusty_boots malware malware_mokhargosh[“<b>멀웨어</b> – MoKhargosh<br/><b>설명</b>: 산업 시스템을 무력화하는 부트킷 기반 와이퍼.”] class malware_mokhargosh malware %% 흐름 technique_valid_accounts –>|다음| technique_exploit_remote technique_exploit_remote –>|가능하게 함| technique_persistence_registry technique_persistence_registry –>|사용| tool_dustyproxy tool_dustyproxy –>|설치| technique_persistence_registry tool_dustyproxy –>|프록시 라우팅| technique_c2_external_proxy technique_c2_external_proxy –>|통신| technique_c2_web technique_c2_web –>|실행 지원| technique_execution_ps technique_execution_ps –>|실행| malware_eriesnake_go malware_eriesnake_go –>|제공| technique_remote_access technique_remote_access –>|악용| technique_credential_exploit technique_credential_exploit –>|도달| technique_impact_preos technique_impact_preos –>|활성화| technique_impact_data_destruction technique_impact_data_destruction –>|파괴| technique_impact_disk_wipe technique_impact_preos –>|구현| malware_rusty_boots technique_impact_preos –>|구현| malware_mokhargosh %% 스타일 class technique_valid_accounts,technique_exploit_remote,technique_persistence_registry,technique_c2_external_proxy,technique_c2_web,technique_execution_ps,technique_remote_access,technique_credential_exploit,technique_impact_preos,technique_impact_data_destruction,technique_impact_disk_wipe technique class tool_dustyproxy tool class malware_eriesnake_go,malware_rusty_boots,malware_mokhargosh malware
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – 소프트웨어/NTUSER 하이브] (via registry_event)
보기
가능한 시스템 나열 (via cmdline)
보기
시스템 프로세스를 모방한 의심스러운 프로세스가 실행됨 (via cmdline)
보기
Wmi Powershell 모듈을 사용한 가능한 시스템 정보 발견 (via powershell)
보기
감지해야 할 IOC (HashMd5): 이란의 사이버 역설: 약화된 APT, 강화된 프록시, 증가하는 부트킷 와이퍼
보기
감지해야 할 IOC (SourceIP): 이란의 사이버 역설: 약화된 APT, 강화된 프록시, 증가하는 부트킷 와이퍼
보기
감지해야 할 IOC (DestinationIP): 이란의 사이버 역설: 약화된 APT, 강화된 프록시, 증가하는 부트킷 와이퍼
보기
HYDRO KITTEN의 Rockwell RSLogix 5000 악용 [방화벽]
보기
ERIESNAKE.GO와 DUSTYPROXY 활동을 나타내는 비정상적인 HTTP 트래픽과 프록시 릴레이 동작 감지 [프록시]
보기
특정 프로세스에 의한 ERIESNAKE.GO PowerShell 실행 감지 [Windows PowerShell]
보기
레지스트리 실행 키를 통한 DUSTYPROXY 지속성 [Windows Registry Event]
보기
시뮬레이션 실행
전제 조건: “Telemetry & Baseline Pre-flight Check”가 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영해야 하며, 탐지 로직이 기대하는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령:
- 자격 증명 수집 (T1078) – 공격자는 저수준 서비스 계정을 침해하여 불안정한 자격 증명 저장소에서 “Rockwell” 서비스 자격 증명을 얻습니다.
- 원격 상호작용 로그온 (T1078, LogonType 10) – 이러한 자격 증명을 사용하여 공격자는 RDP를 통해 대상 PLC 관리 워크스테이션에 연결하여 로그온 이벤트 (EventID 4624, LogonType 10)를 생성하고 규칙의
선택 1을 만족시킵니다.. - 악용 시도 (T1190 / T1542.003) – 로그인 중에 공격자는 RSLogix 5000 웹 서비스에 대해 작성된 HTTP 요청을 실행하여 인증 우회 (CVE-2021-22681)를 트리거합니다. 서비스는 ‘CVE-2021-22681’이라는 실패 이유 문자열과 함께 실패한 인증 이벤트 (EventID 4625)를 기록하여
선택 2를 만족시킵니다.. - 사후 악용 (T1059.001, T1071.001, T1090.002) – 외부 프록시를 통해 PowerShell 역쉘이 설정되어 악성 페이로드를 다운로드하지만, 이 단계는 규칙 발화를 위해 반드시 필요하지는 않습니다.
-
회귀 테스트 스크립트:아래 스크립트는 단계를 자동화하여 정확한 텔레메트리를 생성합니다.
# ============================== # Hydro Kitten 악용 테스트 # ============================== # 1️⃣ 변수 – 환경 값으로 교체하세요 $targetHost = "10.0.0.50" # RSLogix 서버 IP $rockwellUser = "Rockwell" $rockwellPwd = "P@ssw0rd!" # 알려진(또는 획득된) 비밀번호 $proxyUrl = "http://proxy.example.com:8080" # 2️⃣ Rockwell 자격 증명을 사용하여 원격 상호작용 세션(RDP) 설정 $secPwd = ConvertTo-SecureString $rockwellPwd -AsPlainText -Force $cred = New-Object System.Management.Automation.PSCredential ($rockwellUser, $secPwd) Write-Host "[*] $rockwellUser로 $targetHost에 대한 RDP 세션을 시작합니다..." # Start-Process는 새 로그온 세션을 생성합니다 – 이것은 LogonType 10과 함께 EventID 4624를 생성합니다 Start-Process -FilePath "mstsc.exe" -ArgumentList "/v:$targetHost" -Credential $cred Start-Sleep -Seconds 10 # 로그온이 기록될 시간을 허용합니다 # 3️⃣ CVE‑2021‑22681 인증 우회 시도 트리거 $exploitUrl = "http://$targetHost/rslogix/rslogix.cgi?CVE-2021-22681=1" Write-Host "[*] CVE 감지를 트리거하기 위해 잘못된 요청 보내기..." Invoke-WebRequest -Uri $exploitUrl -Proxy $proxyUrl -Method GET -UseBasicParsing -ErrorAction SilentlyContinue Write-Host "[+] 악용 요청이 전송되었습니다. 'CVE-2021-22681'이 포함된 EventID 4625 확인." -
정리 명령: RDP 세션과 모든 임시 아티팩트를 제거합니다.
# RDP 클라이언트 프로세스 종료 Get-Process -Name mstsc -ErrorAction SilentlyContinue | Stop-Process -Force # (선택 사항) 포렌식 발자국을 줄이기 위해 PowerShell 기록 지우기 Clear-History