Nezha 공격 탐지: 중국 연계 해커가 Gh0st RAT 배포에 악용한 오픈소스 모니터링 도구

[post-views]
10월 10, 2025 · 4 분 읽기
Nezha 공격 탐지: 중국 연계 해커가 Gh0st RAT 배포에 악용한 오픈소스 모니터링 도구

중국 해커들이 증가세를 보이며 정교한 기법과 다단계 공격 체인을 통해 전 세계 조직을 점점 더 표적으로 삼고 있습니다. 최근 캠페인으로는 UNC5221 가 미국의 법률 및 기술 조직을 BRICKSTORM 백도어로 공격한 사례와 UNC6384, 외교관들을 PlugX 멀웨어로 공격한 사례가 있으며, 이는 이 배우들의 성장한 기술과 끈기를 보여줍니다.

2025년 8월, 보안 연구원들은 중국과 연계된 배우들이 웹 서버에 중국 초퍼 웹 셸을 설치하기 위해 로그 포이즈닝(로그 인젝션) 기법을 악용한 새로운 캠페인을 관찰했습니다. ANTSWORD를 사용하여 접근한 해커들은 이후 명령 실행을 위해 합법적인 오픈 소스 모니터링 도구 Nezha를 배포한 후 최종적으로 Gh0st RAT를 전달했습니다. 이는 Nezha가 웹 서버 침해에 사용된 첫 공개 보고 사례로 기록되었습니다.

Nezha 공격 탐지

CrowdStrike의 2025 글로벌 위협 보고서 는 중국 관련 사이버 작전의 가속화된 속도를 강조하면서 국가 지원 활동이 150% 증가하고 금융, 미디어, 제조 및 산업 부문에 대한 표적화된 공격이 최대 300% 증가했다고 보고합니다. Nezha를 악용한 최신 캠페인은 이러한 경향을 반영하며, 이러한 위협 행위자들이 계속해서 혁신하며 그들의 역량을 확장하는 방법을 보여줍니다.

SOC Prime 플랫폼 등록 하여 업계 선두 보안 분석 솔루션, AI 기반 위협 인텔리전스 및 고급 탐지 엔지니어링 기능 전반에서 사용할 수 있는 600,000개 이상의 탐지 규칙과 쿼리가 포함된 광범위한 마켓플레이스에 접근하세요. SOC Prime 플랫폼은 Nezha를 악용한 중국 연계 공격으로부터 글로벌 조직을 보호하기 위해 관련 탐지 스택을 큐레이션합니다.

클릭하세요 탐지 탐색 버튼을 누르고 다음을 간단히 사용할 수 있습니다 MITRE ATT&CK® 프레임워크와 함께 다수의 SIEM, EDR 및 데이터 레이크 플랫폼과 호환되는 행동 규칙, IOCs 및 AI 생성 규칙이 매핑됩니다.

탐지 탐색

위협 조사를 간소화하기 위해 보안 전문가들은 Uncoder AI를 사용할 수도 있습니다. 이 IDE 및 감지 엔지니어링 보조자는 Uncoder를 통해 수비자는 IOCs를 맞춤형 탐색 쿼리로 즉시 변환하고, 원시 위협 보고서로부터 탐지 코드를 제작하며, 공격 흐름 다이어그램을 생성하고, ATT&CK 태그 예측을 활성화하며, AI 구동 쿼리 최적화를 활용하고, 여러 플랫폼에서 탐지 콘텐츠를 번역할 수 있습니다.

SOC Prime 팀은 Nezha 공격을 2025년 10월의 이달의 위협으로 지정했습니다. 보안 전문가는 실시간 위협 페이지를 SOC Prime 플랫폼에서 방문하여 모든 포함 된 내용 – 행동 기반 규칙, IOCs, AI 탐지, 공격 흐름, AI 요약 및 고급 시뮬레이션을 무료로 이용할 수 있습니다.

이달의 위협_Nezha

Gh0st RAT 배포를 위한 Nezha 공격 분석

최신 Huntress 보고서 에 따르면, 중국 연계 위협 행위자들이 공인된 오픈 소스 모니터링 도구 Nezha를 악용하여 Gh0st RAT 멀웨어를 전달한 광범위한 악성 캠페인을 설명하고 있습니다. 증거에 따르면 Nezha는 주로 대만, 일본, 한국 및 홍콩에서 100대 이상의 피해자 기계를 침해하는 동안 사용되었습니다. 싱가포르, 말레이시아, 인도, 영국, 미국, 콜롬비아, 라오스, 태국, 호주, 인도네시아, 프랑스, 캐나다, 아르헨티나, 스리랑카, 필리핀, 아일랜드, 케냐, 마카오에서도 소규모의 공격이 관찰되었습니다.

Nezha는 공개적으로 사용할 수 있으며 경량 서버 모니터링 및 작업 관리 도구로 마케팅되고 있지만, 이 캠페인에서는 웹 침해 후 악성 활동을 돕기 위해 재구성되었습니다.

공격 체인은 공개적으로 노출된 취약한 phpMyAdmin 패널의 악용으로 시작되었습니다. 공격자들은 인터페이스 언어를 간체 중국어로 설정했으며 이게 유일한 진입점으로 관찰되었으나, 연구원들이 탐구한 Nezha 설치 정보의 메타데이터는 phpMyAdmin을 실행하지 않는 시스템에 대한 초기 접근을 얻기 위해 추가적인 방법이 사용되었을 가능성을 시사합니다.

접근 권한을 얻은 후, 중국 행위자들은 여러 SQL 명령어를 빠르게 실행하기 위해 서버 SQL 쿼리 인터페이스를 사용하였으며, 최종적으로 인터넷 접근이 가능한 디렉토리에 PHP 웹 셸을 내려놓았습니다. 일반 쿼리 로깅을 활성화하고 로그 파일을 .php 확장자로 명명함으로써, 웹 셸은 POST 요청을 통해 직접 실행될 수 있었습니다.

ANTSWORD 웹 셸을 통해 접근함으로써 중국 연계 행위자들은 침해된 서버에서 조사 작업을 수행할 수 있었고, 여기에는 whoami 명령어를 실행하여 웹 서버의 권한을 확인하는 것이 포함되었습니다. 이 정보는 오픈 소스 Nezha 에이전트의 배포에 대한 지침으로 사용되었습니다. 설치되면 Nezha 에이전트는 외부 명령 및 제어 서버(“c.mid[.]al”)에 연결하여 감염된 호스트에 대해 완전한 원격 제어를 제공하고, 공격자들이 명령을 실행하고 캠페인의 후속 단계를 조직할 수 있도록 하였습니다.

Nezha 에이전트는 상호 작용적 파워셸 스크립트를 실행하는 데 활용되어, 시스템 설정을 수정하여 Microsoft Defender 안티바이러스에 예외를 만들며, 탐지 가능성을 줄이고 지속성을 보장했습니다. 이렇게 생성된 스크립트는 이후 Gh0st RAT 을 로더와 드로퍼를 통해 배포하여 주요 악성코드 페이로드의 구성, 설치 및 실행을 처리했습니다. 이 다단계 프로세스는 공격자들이 합법적인 도구와 맞춤 스크립트를 결합하여 방어를 회피하고 지속성을 유지하며 운영 목표를 달성하는 능력을 강조합니다. 이 캠페인은 중국 연계 행위자들이 Nezha와 같은 공개 사용 가능한 도구를 악용하여 공격 능력을 확장하고 글로벌 조직을 대상으로 하려는 증가하는 경향을 보여줍니다.

중국의 해킹 그룹들이 새로운 공격 전술을 대대적으로 채택하고 공격의 정교함을 증가시키고 있는 가운데, 조직들은 초기 공격 단계에서 위협을 식별하고 전반적인 사이버 보안 자세를 보호하기 위해 선제적인 방어를 강화할 것을 권장받고 있습니다. SOC Prime의 완전한 제품군을 활용하여 최고의 사이버 보안 전문지식, AI, 자동화된 기능 및 실시간 위협 인텔리전스에 의해 지원되는 조직들은 가장 예측되는 APT 공격 및 기타 중요한 위협에 대해 선제적으로 방어할 수 있습니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물