SNOWLIGHT 악성코드
중국과 연계된 위협 행위자 UNC5174(Uteus 또는 Uetus라고도 함)가 SNOWLIGHT 악성코드의 변형 버전과 VShell이라는 새로운 오픈소스 원격 접속 트로이 목마(RAT)를 이용한 새로운 사이버 공격을 개시했습니다. 이 작전은 리눅스 시스템을 표적으로 삼고 있으며, 탐지 및 귀속을 회피하기 위한 첨단 기법을 사용합니다.
목차
블렌딩 인: 오픈 소스 도구를 커버로 활용하다
위협 행위자들은 비용 절감과 활동 은폐를 위해 오픈소스 도구에 점점 더 의존하고 있습니다. 이번 사례에서 UNC5174는 이러한 도구를 사용하여 저급, 비국가적 지원을 받는 해커로 위장하고 있으며, 이로 인해 방어자들은 해당 캠페인을 국가 차원의 활동으로 추적하는 것을 더욱 어렵게 만들고 있습니다. 이러한 전술 덕분에 UNC5174는 1년 전 중국 정부와 연계된 작전과 마지막으로 연계된 것으로 알려진 이후 은밀하게 활동할 수 있었습니다.
익숙한 무기고: SNOWLIGHT와 그 역할
이전에 UNC5174는 Connectwise ScreenConnect와 F5 BIG-IP 소프트웨어의 취약점을 악용하여 C 기반 ELF 다운로더인 SNOWLIGHT를 배포했습니다. 이 도구는 공개적으로 사용 가능한 C2 프레임워크인 SUPERSHELL에 연결된 인프라에서 Golang 기반 터널링 도구인 GOHEAVY를 검색하는 데 사용되었습니다.
툴셋 확장: GOREVERSE 및 새로운 공격 벡터
이 그룹의 툴킷에는 보안 셸(SSH)을 통해 통신하는 Golang 리버스 셸인 GOREVERSE도 포함되어 있습니다. 프랑스 정보시스템 보안국(ANSSI)은 최근 CVE-2024-8963, CVE-2024-9380, CVE-2024-8190을 포함한 Ivanti 클라우드 서비스 어플라이언스(CSA) 취약점 공격에 사용된 유사한 전술을 발견했습니다.
크로스 플랫폼 위협: SNOWLIGHT와 VShell이 macOS를 표적으로 삼다
SNOWLIGHT와 VShell 모두 Apple macOS 시스템을 감염시킬 수 있습니다. 2024년 10월, VShell은 가짜 Cloudflare 인증 앱으로 위장하여 더욱 광범위하고 유연한 공격 인프라를 구축했음을 시사했습니다. 이러한 크로스 플랫폼 기능은 UNC5174가 초래하는 전반적인 위협을 증가시킵니다.
보이지 않는 진입점: 공격 체인 및 페이로드 배포
2025년 1월에 관찰된 공격에서 SNOWLIGHT는 파일리스 인메모리 RAT인 VShell을 유포하는 드로퍼로 사용되었습니다. 초기 접근 방식은 아직 알려지지 않았지만, 시스템 내부에 침투하면 악성 스크립트(download_backd.sh)를 사용하여 dnsloger(SNOWLIGHT)와 system_worker(Sliver)라는 두 가지 핵심 바이너리를 배포합니다. 이러한 도구는 지속성을 확보하고 C2 서버와의 통신을 시작하는 데 도움이 됩니다.
스텔스와 제어: VShell을 사용한 최종 단계
침입의 마지막 단계는 C2 서버에 대한 사용자 지정 요청을 통해 VShell이 다운로드되는 것입니다. 원격 액세스 트로이 목마인 VShell은 공격자에게 임의의 명령을 실행하고 파일을 전송할 수 있는 권한을 부여합니다. 파일이 없는 특성과 C2 통신에 웹소켓을 사용하는 VShell은 공격자의 무기고에서 특히 은밀하고 위험한 도구입니다.
결론: 정교하고 회피적인 위협
UNC5174는 오픈소스 도구, 정교한 전달 방식, 그리고 SNOWLIGHT와 VShell과 같은 은밀한 페이로드의 조합으로 심각한 위험을 초래하고 있습니다. 공개 도구를 활용하고 크로스 플랫폼 취약점을 악용하면서도 탐지되지 않는 이러한 능력은 더욱 강화된 경계와 최신 방어 전략의 필요성을 강조합니다.
