| 요약 | - 중국과 연계된 것으로 추정되는 해커들이 네자(Nezha)를 변조해 Gh0st RAT을 유포한 정황이 확인 - 대만, 일본, 한국, 홍콩 등에서 100대 이상 피해 시스템 발견 |
| 내용 | - 중국과 연계된 것으로 추정되는 해커들 > 합법적인 오픈소스 모니터링 도구인 ‘네자(Nezha)’를 공격 무기로 변조해 ‘고스트 랫(Gh0st RAT)’을 퍼뜨린 정황이 확인 > ‘로그 중독’ 혹은 ‘로그 인젝션’이라 불리는 비정상적인 방식으로 웹셸(Web Shell)을 심은 것이 특징 ※ Log Injection : 사용자 입력이 로그에 포함되는 경우 공격자가 이를 이용해 로그 항목을 위조하거나 악성 내용을 로그에 삽입할 수 있음 - 헌트리스 분석 ① 공격자는 먼저 외부에 노출된 ‘phpMyAdmin’ 패널의 취약점을 이용해 시스템에 침입 ② 접속 직후 인터페이스 언어를 간체 중국어로 변경한 흔적이 포착 > 공격자의 언어 환경과 기술적 배경을 드러내는 단서로 평가) ③ 이후 해커는 일반적인 파일 업로드 방식이 아니라 ‘로그 중독’ 기법을 활용 > 데이터베이스의 일반 쿼리 로그 기능을 활성화 > 로그가 기록되는 경로를 웹 디렉터리 내 .php 확장자로 설정 > 이어 SQL 쿼리 안에 한 줄짜리 PHP 웹셸 코드를 삽입해 쿼리 실행 시 로그 파일에 그대로 저장되도록 만듦 > .php 파일은 사실상 실행 가능한 웹셸이 되어, 공격자는 HTTP POST 요청만으로 원격 명령을 실행할 수 있었음 ④ 이후 ‘앤트소드(AntSword)’라는 웹셸 관리 도구를 이용해 서버에 연결 > whoami 명령어를 통해 권한 수준을 확인한 뒤 본격적인 침투를 진행 - 헌트리스, 로그 파일 이름을 .php로 지정한 것이 핵심 > 이 과정을 통해 해커는 합법적인 로그 기록을 악성 코드 실행 통로로 바꿔버렸다고 설명 ■네자(Nezha) 설치 후 원격 제어…디펜더 예외 등록하고 고스트 랫 실행 - 두 번째 단계에서 해커는 서버에 ‘네자(Nezha)’ 에이전트를 설치 > 네자는 원래 서버 상태를 모니터링하고 명령을 실행할 수 있는 오픈소스 관리 도구 > 이번 공격에서는 악성 원격제어 도구로 전환 > 공격자는 네자를 통해 외부 명령을 내려 피해 서버를 제어했고, 파워셸을 실행해 마이크로소프트 디펜더의 실시간 감시에서 특정 폴더를 제외하도록 설정 > 탐지를 피한 뒤 ‘고스트 랫(Gh0st RAT)’을 단계적으로 설치 - 악성코드 > 시스템 내 가짜 실행파일(SQLlite.exe 등)을 심어 지속성을 확보 > 암호화된 통신 채널을 이용해 외부 명령제어 서버(C2)와 연결 > 일부 변종은 도메인 생성 알고리즘을 사용해 주기적으로 새로운 C2 주소를 생성(탐지를 회피하기 위한 전형적인 전략) ■한국 비롯해 동아시아 집중 공격…러시아어로 운영되는 C2 대시보드 ‘눈길’ - 이번 공격은 동아시아 지역을 중심으로 확산 > 대만, 일본, 한국, 홍콩 등에서 100대 이상의 피해 시스템이 발견됨 > 그 외에도 싱가포르, 말레이시아, 인도, 영국, 미국 등 다양한 국가에서도 감염 흔적이 포착 - 공격자가 운영하는 네자 대시보드가 러시아어로 설정 > 사용 도구와 언어 패턴은 중국 해커 조직의 특성과 일치 - 최초 감염은 올해 6월경부터 시작된 것으로 보이지만, 더 이전부터 활동했을 가능성도 있음 > 보안 전문가들은 이번 사례를 통해 공격자들이 합법적인 오픈소스 도구를 악용해 정당한 시스템 활동으로 위장하는 경향이 커지고 있다며 주의를 당부 > 또 “phpMyAdmin을 외부에서 접근 가능하게 두는 것은 매우 위험하며 가능한 한 외부 접근을 차단하고, 강력한 인증 체계와 로그 모니터링 시스템을 구축해야할 것을 권장 |
| 기타 | - 과거에는 해커들이 직접 개발한 악성코드를 이용했지만, 이제는 탐지를 피하기 위해 널리 사용되는 오픈소스 도구를 변조해 사용하는 사례가 급증 |
보안뉴스
오픈소스 모니터링 도구가 해킹 무기로…중국 연계 해커, 원격제어 악성코드 유포…한국도 피해
중국과 연계된 것으로 추정되는 해커들이 합법적인 오픈소스 모니터링 도구인 ‘네자(Nezha)’를 공격 무기로 변조해, 악명 높은 원격제어 악성코드 ‘고스트 랫(G
www.dailysecu.com
The Crown Prince, Nezha: A New Tool Favored by China-Nexus Threat Actors | Huntress
Beginning in mid-2025, Huntress discovered a new tool being used to facilitate webserver intrusions known as Nezha, which up until now hasn’t been publicly reported on. This was used in tandem with other families of malware and web shell management tools
www.huntress.com
'보안뉴스' 카테고리의 다른 글
| [대한민국 털렸다] ‘프랙’ 보고서 사실이었다...행안부 온나라 시스템 등 해킹 확인 외 2건 (0) | 2025.10.19 |
|---|---|
| [긴급] 소닉월 클라우드 백업 해킹…“클라우드 백업 서비스 사용한 모든 고객에 피해 발생” 외 1건 (0) | 2025.10.11 |
| 레드햇 공격 당해...해커 그룹, “570GB 분량 고객 민감 데이터 털었다” 외 1건 (0) | 2025.10.09 |
| 구글 ‘제미니’ 치명적 취약점…AI가 사이버 공격 무기로 활용 외 1건 (0) | 2025.10.03 |
| 깃허브 공급망 공격 ‘고스트액션‘, 3,325개 시크릿 유출…오픈소스 생태계 위협 외 1건 (0) | 2025.09.10 |