SOC Prime Bias: 위험

12 Jan 2026 15:32 UTC

UAT-7290, 아시아 남부의 고가치 통신 인프라 겨냥

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
UAT-7290, 아시아 남부의 고가치 통신 인프라 겨냥
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

UAT-7290은 적어도 2022년부터 활동한 것으로 평가되는 중국 연계의 고급 지속 위협 그룹입니다. 주로 엣지 네트워크 장치에 대한 초기 접근을 우선시하며, 남아시아의 통신 제공자에 대한 스파이 활동을 수행하고 있으며, 최근에는 남유럽으로 활동이 확장되었습니다. 이 그룹의 도구 집합에는 Linux 임플란트인 RushDrop, DriveSwitch, SilentRaid, Bulbature와 Windows 페이로드인 RedLeaves 및 ShadowPad가 포함됩니다. UAT-7290은 다른 위협 행위자에게 트래픽을 중계할 수 있는 Operational Relay Box (ORB) 인프라를 유지하고 있습니다.

조사

Cisco Talos는 관련 샘플을 분석하고, RushDrop 드로퍼가 숨겨진 .pkgdb 디렉터리를 생성하는 것으로 시작하는 단계적인 Linux 감염 체인을 문서화했습니다. 이후 단계에서는 DriveSwitch와 주요 임플란트 SilentRaid가 배포됩니다. 이러한 구성 요소는 공용 리졸버를 통한 DNS 해석을 사용하여 명령 및 제어에 도달하며, 명령 실행, 파일 관리 및 역셸 수립 등의 기능을 지원합니다. Bulbature는 ORB 노드로 기능하며, 설정 가능한 포트에서 리스닝하고 많은 중국 호스팅 시스템에서 관찰된 것과 같은 반복적인 자체 서명 인증서를 사용합니다.

완화

기본 자격 증명을 제거하고 관리 노출을 제한하며 알려진 1일 취약점을 신속하게 패치하여 엣지 네트워크 장치를 강화하십시오. 공용 리졸버로 라우팅된 예상치 못한 쿼리를 포함한 비정상적인 DNS 동작을 모니터링하고 숨겨진 디렉토리 내에 나타나는 낯선 바이너리와 이례적인 BusyBox 명령 사용을 모니터링하십시오. 관련된 ClamAV 서명 및 Snort SID 65124를 탐지할 수 있는 엔드포인트 및 네트워크 보호 기능을 배포하고 경보가 SOC 워크플로우와 연결되도록 보장하십시오.

대응

의심스러운 활동이 발견되면, 영향을 받은 장치를 격리하고 휘발성 메모리 및 디스크 이미지를 캡처하며, 확인된 C2 도메인 또는 IP 주소를 즉시 차단하십시오. .pkgdb 디렉토리, /tmp 구성 아티팩트, 생성된 리버스 셸의 증거에 대한 표적 포렌식을 수행하십시오. 손상된 자격 증명을 재설정하고 SSH 키를 회전하며 환경 내에 ORB 노드가 운영 중이지 않음을 확인하십시오.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하는 데 설계된 적의 기술(TTP)에 대한 정확한 실행을 설명합니다. 명령 및 설명은 식별된 TTP를 직접 반영해야 하며, 탐지 로직에서 예상되는 정확한 텔레메트리를 생성하는 것이 목표입니다. 추상적이거나 관련 없는 예제는 오진으로 이어질 것입니다.

  • 공격 설명 및 명령:

    1. 초기 드로퍼 실행 (T1480.002):
      공격자는 RushDrop 바이너리를 실행하며, 페이로드의 일환으로 숨겨진 디렉토리 .pkgdb 를 현재 작업 디렉토리에 생성합니다.

      ./RushDrop --install .pkgdb
    2. 특권 구성요소 실행 (T1569):
      드로퍼는 그 후 SilentRaid 를 시작하며, 악성 모듈을 로드하기 위한 플러그인 인수를 사용하여 시스템 서비스를 통해 지속성을 확립합니다.

      sudo ./SilentRaid --load plugins
    3. 네트워크 발견 (T1016.001):
      마지막으로, 악성 소프트웨어는 내부 네트워크를 매핑하기 위해 라우팅 정보를 수집합니다:

      cat /proc/net/route

    이 세 가지 명령 줄 조각이 함께 나타나면 (또는 첫 번째 두 개가 함께 나타나고 and 세 번째가 대안으로), 시그마 규칙 조건은 참으로 평가되어 경고를 생성합니다.

  • 회귀 테스트 스크립트:

    #!/usr/bin/env bash
    #
    # UAT‑7290 탐지 검증 스크립트
    # 시그마 규칙이 요구하는 정확한 명령 줄 패턴을 시뮬레이션합니다.
    #
    set -euo pipefail
    
    # 1. 임시 작업 디렉토리 생성
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. RushDrop 바이너리 시뮬레이션
    echo -e '#!/usr/bin/env bashnecho "RushDrop executed"' > RushDrop
    chmod +x RushDrop
    
    # 3. .pkgdb 인수를 사용하여 RushDrop 실행 (폴더 생성)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # 드로퍼 동작 모방
    
    # 4. SilentRaid 바이너리 시뮬레이션
    echo -e '#!/usr/bin/env bashnecho "SilentRaid loaded plugins"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. 플러그인 인수로 SilentRaid 실행 (현실성을 위해 sudo 필요)
    sudo ./SilentRaid --load plugins
    
    # 6. 네트워크 발견 명령
    cat /proc/net/route
    
    # 7. 정리 (필요 시 수동 검사 위해 유지)
    # rm -rf "$WORKDIR"
  • 정리 명령:

    # 테스트 중 생성된 임시 디렉토리 및 모든 아티팩트 제거
    sudo rm -rf "$WORKDIR"
    # 잔류 이벤트가 남지 않도록 auditd 큐 비우기
    sudo auditctl -D
    # 기본 규칙 복원을 위해 auditd 재시작
    sudo systemctl restart auditd