벨벳 앤트 활동 감지: 중국 지원 사이버 스파이 그룹, F5 BIG-IP 디바이스에 배포된 악성코드를 사용하여 장기 공격 개시

중국과 연관된 사이버 첩보 그룹 벨벳 앤트는 약 3년 동안 F5 BIG-IP 장치를 내부 C2 서버로 침투하여 악성 코드를 배포하고, 탐지를 교묘히 피하며 민감한 데이터를 탈취하고 있습니다.

벨벳 앤트 공격 탐지

2024년 1분기, 중국, 북한, 이란, 러시아를 포함한 다양한 지역의 APT 그룹들이 동적이고 혁신적인 공격 능력을 크게 증가시켰으며, 이는 전 세계 사이버 보안 환경에 상당한 도전 과제를 제기하고 있습니다. 이러한 경향은 더욱 심화되고 있으며, 최근에 밝혀진 중국 벨벳 앤트 APT의 사이버 첩보 캠페인은 현재 조직들이 직면하고 있는 광범위한 공격 표면의 최신 사례입니다.

적대자보다 앞서고 최신 벨벳 앤트 캠페인과 관련된 악의적인 활동을 찾기 위해, SOC 프라임 플랫폼은 시그마 규칙 전용 팩을 제공합니다. 아래의 탐지 탐색 버튼을 클릭하거나, “벨벳 앤트” 태그를 사용하여 위협 탐지 시장. 

탐지 탐색

에 직접 액세스하세요. 모든 규칙은 30개 이상의 SIEM, EDR, 데이터 레이크 기술과 호환되며 MITRE ATT&CK®에 매핑되어 있습니다. 또한, 탐지는 광범위한 메타데이터, CTI 참조 및 공격 타임라인으로 풍부하게 추가되어 위협 조사를 원활하게 합니다.

벨벳 앤트 활동 분석

시그니아 연구원들은 포렌식 분석 을 통해 중국과 연계된 벨벳 앤트로 명명된 국가 지원 그룹과 관련된 지속적인 악의적인 활동을 조사했습니다. 중국 사이버 첩보 위협 행위자들은 동아시아 조직에 대한 장기적이고 정교한 공격을 배후에서 주도한 것으로 관찰되었습니다. 공격자들은 원시적인 F5 BIG-IP 장치를 내부 C2 시스템으로 무기화하여 지속성과 탐지 회피를 달성하였고, 이로 인해 감염된 인스턴스에서 데이터를 은밀히 탈취했습니다. 특히, 벨벳 앤트는 조사 이전에 최소 2년 동안 해당 조직의 네트워크를 침입한 것으로 나타났습니다. 이 기간 동안, 그들은 네트워크에 대한 강력한 발판을 마련하고 상세한 정보를 얻을 수 있었습니다.

감염 체인은 악의적인 PlugX 백도어 (일명 Korplug), 중국 연관 사이버 첩보 유지자들이 자주 사용하는 모듈식 RAT(원격 액세스 도구), Earth Preta APT를 활용했습니다. PlugX는 DLL 사이드 로딩에 크게 의존하여 대상 장치를 손상시킵니다. 적대자들은 또한 네트워크를 가로질러 방향 이동을 위해 Impacket와 같은 오픈 소스 도구를 사용하여 PlugX를 설치하기 전에 조직의 EDR 솔루션을 비활성화하려고 시도했습니다.

벨벳 앤트는 PlugX를 내부 C2 서버로 다시 구성하고 이 서버를 통해 트래픽을 채널링했습니다. 이는 방어 회피를 용이하게 하여 C2 트래픽을 합법적인 내부 네트워크 트래픽과 혼합할 수 있게 했습니다.

연구에 따르면, 영향을 받은 조직에는 방화벽, WAF, 로드 밸런싱 및 로컬 트래픽 관리 등의 서비스를 제공하는 두 개의 F5 BIG-IP 장치가 있었습니다. 둘 다 오래된 OS를 실행 중이어서, 적대자들이 이러한 보안 결함 중 하나를 무기화하여 장치에 원격 접근 권한을 쉽게 얻을 수 있었습니다.

적대자들은 취약한 F5 인스턴스에 추가적인 악성 코드를 배포했으며, VELVETSTING은 매시간 명령 실행을 확인하기 위해 위협 행위자의 C2에 연결하였고, VELVETTAP은 네트워크 패킷을 캡처하는 데 사용되었습니다. 적대자 도구 키트에서 SAMRID, 다양한 중국 APT 그룹들이 사용하는 오픈 소스 SOCKS 프록시 터널러, Volt Typhoon및 VELVETSTING 도구와 유사한 기능을 가진 ESRDE를 포함합니다.

최신 벨벳 앤트의 공격 증가된 정교함과 행위자의 교묘한 탐지 회피 능력은 APT 공격에 대한 강력한 방어 전략의 필요성을 시사합니다. 잠재적인 F5 BIG-IP 악성 코드 완화 조치로는 아웃바운드 인터넷 트래픽 제한, 네트워크 내 측면 이동 제한, 그리고 레거시 및 공공 대면 장치 보호 강화 등이 추천됩니다. SOC 프라임의 공격 탐지 SaaS 솔루션을 활용하여 조직은 종합적인 위협 가시성 및 탐지 범위 개선을 위해 실시간 데이터와 콘텐츠 감사를 받을 수 있으며, 고성능 탐지 스택 탐색을 통해 빠른 탐지 및 경고를 위한 자동화된 위협 헌팅을 활성화하여 사이버 위협을 신속하게 식별하고 해결할 수 있습니다.