위버 앤트 공격 탐지: 중국 연계 그룹, 차이나 초퍼를 포함한 다중 웹 셸로 아시아의 통신 업체를 노리다

APT 중국 출신 그룹은 북한, 러시아, 이란과 함께 상위 글로벌 사이버 위협 중 하나로 평가되었으며, 이들은 공격 능력을 크게 증대시켜 사이버 보안 환경에 중대한 도전을 제기하고 있습니다. 최근 공개된 MirrorFace(일명 Earth Kasha)의 Operation AkaiRyū 이후, 중국 연계 공격자들이 다시 공격하고 있습니다. 이번에는 보안 연구자들이 통신 서비스 제공업체 네트워크에 수년간 지속된 Weaver Ant 그룹의 사이버 첩보 공격에 대한 보고가 전해졌습니다.

Weaver Ant 공격 탐지

지정학적 긴장이 고조되면서, 국가 지원 위협 행위자들은 전략적 목표를 달성하기 위해 고급 기술을 활용하여 악의적인 활동을 강화하고 있습니다. 사이버 첩보는 주요 초점이 되었으며, 작업이 점점 더 타겟화되고 은밀해지고 있습니다. 최근 예시로는 매우 정교한 웹 쉘 전술을 사용하여 아시아의 주요 통신 제공업체에 침투한 Weaver Ant APT 운영이 있습니다. 이 사건은 오늘날 지정학적 환경에서 사이버 위협의 복잡성과 정밀성이 증가하고 있음을 강조합니다.

신규 위협에 대응하고 Weaver Ant 공격에 선제적으로 대처하기 위해 SOC Prime 플랫폼 은 위협 행위자의 TTP에 대한 관련 Sigma 규칙 세트를 제공합니다. 아래의 탐지 탐색 버튼을 눌러 전용 규칙 세트로 신속히 이동하십시오.

탐지 탐색

이 규칙들은 여러 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, 위협 조사를 단순화하기 위해 MITRE ATT&CK®에 매핑되어 있습니다. 탐지에는 또한 광범위한 메타데이터가 포함되어 있으며, 여기에는 CTI 링크, 공격 타임라인, 우선 순위 분석 권고 사항 등이 포함됩니다.

국가 지원 행위자가 사용하는 TTP에 대한 더 많은 탐지 콘텐츠를 찾고 있는 보안 전문가들은 “APT” 태그를 사용하여 탐지 알고리즘 및 실시간 위협 인텔 컬렉션을 탐색할 수 있으며, AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지를 위한 완전한 제품 제품군이 지원됩니다.

Weaver Ant 공격 분석

중국과 연계된 해킹 그룹은 Sygnia에 의해 Weaver Ant로 추적되었으며, 고급 has been observed employing advanced 웹 쉘 전략을 사용하여 아시아의 주요 통신 제공업체를 타겟으로 삼았습니다. 공격자들은 여러 차례 제거 노력을 불구하고 네트워크에 4년 이상 침투하여 엄청난 인내력을 보였습니다. 이들은 비인증 ORB 네트워크를 사용하여 트래픽을 프록시하고 인프라를 숨겼으며, 주로 동남아시아 통신 제공업체의 기가-화일 Zyxel CPE 라우터를 활용하여 통신 간에 피벗할 수 있었습니다.

Weaver Ant는 다양한 페이로드를 배포했으며, 기본 웹 쉘을 더 고급 페이로드의 채널로 사용했습니다. 재귀적 터널링 도구를 사용하여 HTTP 터널링을 통해 내부 자원에 접근할 수 있었으며, 이 도구는 해커가 다양한 웹 환경을 매끄럽게 탐색하고 운영 적응성을 유지할 수 있게 했습니다. 또한 Weaver Ant는 웹 쉘을 측면 이동에 활용했습니다. Weaver Ant는 데이터의 은밀한 유출을 위한 방어 회피 방법을 사용했으며, 포트 미러링을 통한 수동적 네트워크 트래픽 캡처와 같은 방법을 활용했습니다. 단독 웹 쉘을 적용하기보다는, ‘웹 셸 터널링’이라는 기술을 사용하여 다른 네트워크 세그먼트를 가로지르는 서버 간 트래픽을 라우팅하여 숨겨진 C2 네트워크를 생성했습니다. 각 셸은 암호화된 페이로드를 전달하여 더 깊은 네트워크 착취를 위한 프록시 역할을 합니다. 또한 Weaver Ant는 감염 시스템에 트로이화된 DLL을 배포했습니다.

침해 조사자들은 China Chopper 백도어의 여러 변종과 호스트의 메모리에서 직접 페이로드를 실행하는 새로운 맞춤 웹 쉘 ‘INMemory’를 발견했습니다. 공격자들은 AES로 암호화된 China Chopper 웹 쉘 버전을 배포하여 네트워크에 접근했고 서버를 원격 제어하며 방화벽 보호를 우회했습니다.

China Chopper는 파일 관리, 명령 실행, 데이터 유출과 같은 고급 공격 기능을 제공합니다. 그 크기와 은밀한 특성은 지속적인 접근을 유지하고, 추가 착취를 가능하게 하며, 기존의 보안 시스템에서 탐지를 피하기에 적합하게 만들었습니다. 그 다재다능함과 사용의 용이성으로 인해 손상된 시스템에서 다양한 악의적인 활동을 수행하기 위한 인기 있는 도구가 되었습니다. 두 번째 웹 쉘인 ‘INMemory’는 하드코딩된 GZipped Base64 문자열을 ‘eval.dll’이라는 휴대 가능한 실행 파일(PE)로 디코딩하여 메모리 내에서 완전히 실행하여 탐지를 피합니다.

더욱이 Weaver Ant는 SMB 공유 및 오랜 고위 계정을 사용했으며, 주로 NTLM 해시를 통해 인증을 받아 네트워크 내에서 측면 이동을 했습니다. 4년에 걸쳐, 그들은 구성을 맵핑하고 주요 시스템을 목표로 하기 위해 환경 내의 구성 파일, 로그 및 자격 증명을 수집했습니다. 이 그룹은 사용자 데이터를 도용하기보다는 네트워크 정보 수집과 통신 인프라에 대한 지속적인 접근에 집중했으며, 이는 국가 지원 첩보 활동과 일치합니다.

Weaver Ant의 공격은 고도화되고 있으며, 고급 탐지 회피 기법의 사용은 방어자들에게 매우 빠른 대응이 필요합니다. Weaver Ant의 지속적인 활동으로 인한 위험을 최소화하기 위해, 방어자들은 내부 네트워크 트래픽 제어를 구현하고, 완전한 IIS 및 PowerShell 로깅을 활성화하며, 최소 권한 원칙을 시행하고, 사용자 자격 증명을 자주 회전시키는 것을 권장합니다. 조직은 AI로 지원되며 최첨단 기술을 활용하여 사이버 보안 태세를 위험 최적화할 수 있는 SOC Prime의 완벽한 제품군 에 의존할 수 있습니다.