보안 위협 분석
UNC5174 캠페인
악성코드 분석 2025-05-14
1) 개요
최근 여러 보안 커뮤니티와 기관들은 UNC5174로 식별되는 위협 그룹의 새로운 캠페인을 발견했다. 해당 캠페인은 기존의 캠페인과 달리 vshell 이라는 새로 출시된 오픈소스 도구를 사용했다. 언더그라운드 커뮤니티에서 vshell이 기존에 많이 사용되던 Cobalt Strike 보다 우수한 성능을 제공한다고 평가하고 있으며, 이는 공격자가 새로운 툴체인을 도입하여 탐지 회피와 작전 효율성을 강화하고 있음을 의미한다.
공격자들은 난독화 효과를 극대화하고 비용을 절감하기 위해 공격 캠페인에 오픈소스 도구를 채택하는 경향을 보이고 있다. 이는 해당 캠페인의 배후가 어떤 그룹인지 파악하기 어렵게 한다. 실제로 UNC5174 그룹은 지난 1년 동안 보안 기관들의 모니터링에 탐지되지 않았다.
이번 캠페인에서 UNC5174 그룹이 초기침투에 어떤 도구를 사용했는지는 불분명하지만, Linux 기반 시스템을 목표로 하고 있으며 새로운 C2 서버들이 피싱 및 소셜 엔지니어링에 사용될 가능성이 높으므로 주의가 필요하다.
2) UNC5174 그룹의 새로운 캠페인
UNC5174는 사이버 첩보 활동을 주 목적으로 하는 조직화된 위협 그룹이다. 다양한 공격 벡터(피싱, 취약점 악용, 공급망 침해 등)를 활용하여 목표 네트워크에 초기 침투한 뒤, 장기간에 걸쳐 정보를 수집하고 시스템을 조작하는 활동을 수행한다. 이러한 특징을 기반으로 다수의 보안 기관과 연구자들은 APT 범주로 분류하고 있다.
사회공학 기법 및 맞춤형 악성코드를 사용하여 목표 기관에 지속적으로 침투하며, 주요 표적은 정부 기관, 에너지 발전소, 언론사, 군사 및 방위 산업으로 확인된다. 이러한 점으로 볼 때 UNC5174가 국가 지원을 받으며 활동하는 것으로 추정하고 있다. 최근 활동에는 다단계 페이로드 배포 및 C2 인프라 은폐 기술을 통해 탐지를 회피하는 전략을 사용하고 있으며 이러한 변화는 UNC5174가 지속적으로 위협 환경에 적응하고 있으며, 공격 수단을 계속해서 발전시키고 있음을 시사한다.
[도메인 분석]
캠페인에서 발견된 새로운 도메인은 아래와 같으며, 이러한 도메인에는 여러 개의 하위 도메인이 있다. 그 중 일부는 login[.]microsoftonline[.]gooogleasia[.]com과 같은 다른 브랜드의 이름을 가지고 있다. 도메인은 피싱을 목적으로 사용되었을 가능성이 높다.
3) 기술 분석
새롭게 발견된 캠페인에서 UNC5174는 지속성 유지를 위해 여러 실행파일을 다운로드 하는 악성 bash 스크립트를 사용했다. 해당 스크립트를 실행할 경우 dnsloger(SNOWLIGHT), system_worker(Sliver)라는 이름의 파일 2개가 다운로드 된다.
[download_backed.sh]
해당 스크립트에는 악성 실행 파일이 예상 MD5 해시 값과 일치하는지 확인하는 다양한 함수가 포함되어 있다. dnsloger 및 system_worker 파일이 설치되어 실행되고 있는지 확인하며, 실행 중 이라면 추가적인 행위를 하지 않고 종료된다. 만약 파일이 없을 경우 C2 서버(hxxp://gooogleasia.com:8080/)에서 2개의 파일을 다운로드 한다.
<그림 1> 파일 존재 여부 확인
<그림 2> 파일 다운로드
그 다음 루트 권한으로 실행 중인지 확인한다. 루트 권한이 아닐 경우 다운로드한 실행 파일을 /tmp 경로에 보관한다. 만약 루트 권한으로 실행되고 있다면 다운로드한 실행파일을 /usr/bin/ 경로로 이동한다. 이는 지속성을 유지할 수 있도록 하며, 파일을 제거하기 어렵게 만든다. 또한 다른 바이너리들과 악성 파일이 섞여 구분하기 힘들게 만들며 궁극적으로 시스템 전체에 접근할 수 있도록 한다.
<그림 3> 유저 권한 체크
그런 다음 지속성 유지를 위해 crontab을 이용해 매시간 실행되도록 하며, 재부팅 후에는 백그라운드에서 실행되도록 한다.
<그림 4> crontab 등록
스크립트는 두 개의 악성 바이너리인 dnsloger와 system_worke를 구성하여 시스템 시작 시 systemd(최신 시스템) 또는 init.d(이전 시스템)를 통해 실행되도록 한다. init.d와 systemd는 리눅스 시스템 부팅 중 필요한 서비스 및 프로세스를 시작하는 역할을 한다. 과거에는 init 프로세스가 주로 사용되었지만, 최근에는 systemd가 init을 대체하여 사용된다. systemctl은 system 구성을 다시 로드하고 악성 서비스를 시작하는데 사용된다. Init.d를 사용하는 시스템의 경우, 스크립트는 chkconfig를 사용하여 부팅 시 서비스가 시작되도록 한다.
<그림 5> systemd 이용
<그림 6> init.d 이용
[dnsloger(SNOWLIGHT)]
bash 스크립트에서 다운로드 된 실행 파일 2개 중 하나인 dnsloger는 UNC5174가 이전에 사용했던 SNOWLIGHT 악성코드 변종 중 하나이다. SNOWLIGHT 악성코드는 Linux 내부 구조, 지속성, 방어 회피 등 여러가지 작업을 수행한다. dnsloger 분석 시 C2서버와 통신 시 필요한 일부 매개변수, 파일 이름들이 하드코딩되어 있다.
<그림 7> 하드코딩 된 일부 매개변수
악성코드는 먼저 /tmp/log_de.log 파일을 확인한다. 해당 파일이 없을 경우 C2 서버에 연결하기 위한 네트워크 통신용 소켓을 설정한다. C2 서버(vs[.]gooogleasia[.]com)에 대한 연결을 확인하고 HTTP GET 요청을 전송한다. 이때 다운로드 되는 파일은 vshell 이다.
<그림 8,9> log 파일 확인 (위)/ 통신 소켓 설정(아래)
그런 다음 recvform 시스템 호출을 통해 네트워크 데이터를 수신하려고 시도한다. 현재 C2 서버는 닫혀있는 상태이다. 데이터가 수신될 때까지 기다렸다가 전달받은 데이터를 0x99와 xor 연산한다. 마지막으로 현재 작업 디렉터리를 환경변수 “CWD”로 설정한다.
<그림 10> xor 연산 및 환경변수 설정
[system_worker(Sliver)]
bash 스크립트에서 다운로드 된 system_worker는 Sliver 이다. System_worker는 upx로 패킹되어 있으며, gobfuscate로 난독화되어 있다. 난독화 해제 후 확인해보면 바이너리 기능이 Sliver 패키지에 있는 기능과 동일한 것을 알 수 있다.
<그림 11> system_worker 내부 패키지
<그림 12> sliver 내부 패키지
Sliver는 BishopFox사에서 제작/관리하고 있는 go 언어 기반 오픈소스 C2 프레임워크이다. 기업의 보안 취약점을 점검하기 위한 도구로 제작되었으나 공격자들이 악성 행위를 하기 위해 많이 사용되고 있다. Sliver가 대상 시스템에 설치되면 정보 수집, 감염된 시스템을 원격으로 제어할 수 있게 한다. System_worke는 실행 시 sex666vr[.]com에 호스팅 된 여러 c2 하위 도메인에 접근한다.
[vshell]
vshell 또한 Sliver와 같이 오픈소스 도구이다. vshell은 감염된 시스템에 원격으로 접근하고 제어하는데 사용되는 백도어 이다. 해당 도구는 2024년에 처음 공개되었다. 악성코드가 메모리에만 상주하고 디스크에는 영향을 미치지 않는 fileless 방식으로 실행된다. 따라서 기존의 파일 기반 검사 방식으로는 탐지가 어렵다. dnsloger 코드에서 볼 수 있듯이 [kworker/0:2]로 위장하여 fexecve 시스템 호출을 통해 실행된다. 현재 프로세스에서 접근 가능한 환경변수도 함께 전달된다.
<그림 13> fexecve 시스템 호출
4) 결론
이 캠페인은 위협그룹 UNC5174의 새로운 행보를 보여준다. 특히 , vshell과 같은 최신 오픈소스 도구의 도입은UNC5174 그룹이 상당한 전문성을 가지고 있으며 계속해서 공격 기술을 연구 중 임을 알 수 있게 한다. 또한 그룹의 공격 전략을 재구성하고, 탐지회피 기술을 강화하려는 의도를 잘 보여준다. 비용 효율성과 익명성을 동시에 확보하려는 APT 그룹의 전반적인 흐름과도 일치한다. 최소 2024년 11월부터 활동 했을 것으로 추정되며 타켓(정부기관, 발전소, 언론사 등)에 접근하기 위해 계속해서 사용 도구들을 확장할 것이라 평가된다. 또한 탐지를 최소화하기 위해 fileless 악성코드를 사용하는 등의 기법을 계속해서 사용할 가능성이 높다. 공격자들이 탐지를 더 어렵게 하는 기술들을 계속해서 발전시켜 나가고 있으므로 주의깊은 모니터링이 필요하다.
[참고자료]
https://sysdig.com/blog/unc5174-chinese-threat-actor-vshell/
