SOC Prime Bias: 위험

08 Jul 2026 16:21 UTC

UAT-7810은 새로운 악성 코드를 사용하여 ORB 네트워크를 계속 구축합니다

Author Photo
SOC Prime Team linkedin icon 팔로우
UAT-7810은 새로운 악성 코드를 사용하여 ORB 네트워크를 계속 구축합니다
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

중국 연계 APT 그룹 UAT-7810은 LONGLEASH, DOGLEASH, JARLEASH를 포함한 맞춤형 악성코드 툴킷으로 LapDogs 운영 릴레이 박스 네트워크를 계속 확장하고 있습니다. 이 행위자는 임베디드 장치와 네트워킹 하드웨어에 초점을 맞춰 2차 위협 행위자가 활용할 수 있는 프록시 인프라를 구축하고 있습니다. 이러한 작전은 Ruckus와 ASUS 장비의 알려진 결함을 이용하는 것에 부분적으로 의존하고 있습니다.

조사

Cisco Talos는 UAT-7810에 연결된 인프라와 악성코드를 조사하여 이전에 알려진 도구의 업데이트된 버전과 완전히 새로운 두 개의 악성코드 패밀리를 식별했습니다. 분석 결과, 특정 VPS 노드 사용과 커스텀 TLS 인증서 지문이 명령 및 제어 트래픽에 사용됨이 드러났습니다. 연구원들은 또한 이 행위자의 인프라가 ASUS AiCloud 라우터 환경으로 ORB 네트워크를 확장하려는 노력과 연결되었음을 발견했습니다.

대응 방안

조직은 Ruckus 무선 라우터의 알려진 문제점을 CVE-2020-22653, CVE-2020-22658CVE-2023-25717에 대해 패치하는 것을 우선시해야 합니다. ASUS AiCloud 라우터를 CVE-2025-2492 로부터 보호하는 것도 필수적입니다. IoT 및 임베디드 장치를 격리하는 네트워크 세분화는 해당 시스템이 릴레이 노드로 전환될 위험을 줄일 수 있습니다.

대응

식별된 IP 주소 또는 내부 이름 ff-agent 가 탐지되면, 사건 대응자는 영향을 받은 네트워킹 장치를 즉시 격리해야 합니다. 그런 후에, 포렌식 분석은 LEASHTEST 아티팩트 또는 승인되지 않은 셸 스크립트를 점검해야 합니다. 네트워크 텔레메트리도 LONGLEASH 임플란트와 관련된 Chrome 사용자 에이전트 문자열에 대해 검토해야 합니다.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준값 사전 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 공격 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 서사는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 것입니다.

  • 공격 내러티브 및 명령: 공격자는 웹 취약점을 이용하여 Linux 대상에 초기 접근에 성공했습니다 (CVE-2023-25717 활용). 지속성을 확보하고 명령 및 제어(C2)를 설정하기 위해, 그들은 자신들의 인프라로부터 특수한 백도어를 다운로드합니다. UAT-7810 악성코드 패밀리의 패턴을 따라, 공격자는 떨어진 바이너리의 이름을 LEASHTEST 로 지정하여 잠재적 테스트 스크립트와 어울리게 만드는데, 이 명명 규칙 자체가 이 특정 위협 행위자의 시그니처입니다. 공격자는 그 후 ./LEASHTEST 를 실행하여 역방향 셸을 시작하고, 이는 프로세스 이름에 기반하여 탐지 규칙을 트리거해야 합니다.

  • 회귀 테스트 스크립트:

    #!/bin/bash
    # UAT-7810 악성코드 프로세스 이름 탐지를 위한 시뮬레이션 스크립트
    
    echo "[+] 시뮬레이션 시작: UAT-7810 악성코드 백도어"
    
    # 1. 악성코드를 시뮬레이트하기 위한 더미 바이너리를 생성합니다
    # 실제 시나리오에서는 실제 악의적인 ELF 파일이 될 것입니다.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo '시뮬레이트된 악성코드 페이로드 실행됨'" >> LEASHTEST
    
    # 2. 파일을 실행 가능하게 만듭니다
    chmod +x LEASHTEST
    
    # 3. '악성코드'를 실행하여 탐지 규칙을 트리거합니다
    echo "[+] LEASHTEST 실행 중..."
    ./LEASHTEST
    
    echo "[+] 시뮬레이션 명령 완료."
  • 정리 명령:

    # 시뮬레이션 아티팩트 정리
    rm -f LEASHTEST
    echo "[+] 정리 완료."