[데일리시큐]‘팬텀 토러스’ 중국 연계 새 해킹그룹 포착…외교·군사·정부기관 및 통신사 집중 공격

내용 요약

팔로알토네트웍스 Unit 42가 팬텀 토러스(Phantom Taurus)라는 중국 연계 해킹 그룹을 공개하며, 이 그룹이 지난 2년 ½ 동안 아프리카·중동·아시아 전역 정부·외교·군사 기관을 대상으로 장기적 사이버 스파이 활동을 벌였다고 밝혔습니다. 팬텀 토러스는 주로 첩보 수집을 목표로 하며, 정밀한 피싱·제로데이 활용과 무형 침투·데이터 유출 기법을 결합해 고가치 타깃에 접근합니다.

핵심 포인트

• 전 세계 광범위한 목표: 아프리카·중동·아시아 정부·외교·군사 핵심 부문을 집중 공략
• APT 전술 결합: 고급 피싱, 제로데이 악성코드, 무형 침투, 암호화된 데이터 유출
• 지속적 모니터링 및 대응 필요: 이메일 보안, 멀티팩터 인증, EDR, 네트워크 세분화 등 통합 방어체계 구축

기술 세부 내용

1️⃣ “스피어 피싱 + 제로데이 악성코드 (Spear Phishing with Zero‑Day Malware)”

1. 목표 설정 & 정밀 스캔
   • 공격자는 타깃 조직의 공개 정보(인사·연락처·구조)를 수집.
   • Open‑Source Intelligence (OSINT)와 Threat Hunting 도구(Shodan, Maltego)를 활용해 내부 구조 파악.
2. 피싱 메시지 제작
   • 인간공학(UX‑공학) 원칙을 적용해 메일 헤더와 본문을 현실감 있게 조작.
   • 첨부 파일은 Office Macro 문서 혹은 PDF에 삽입된 CVE‑2021‑34527 (PrintNightmare)와 같은 제로데이 취약점을 노출.
3. 전송 & 수신 경로 설정
   • SMTP Relay를 이용해 스팸 필터 회피.
   • URL Shortener(bit.ly 등)를 사용해 트래킹 코드 삽입 및 스팸 차단 우회.
4. 시작 단계
   • 사용자 클릭 시, 악성코드가 PowerShell 스크립트를 실행해 시스템에 Cobalt Strike Beacon 혹은 Empire 같은 C&C 에이전트 설치.
   • 초기 커맨드 라인에 Credential Dumping(Mimikatz, LaZagne) 실행 명령이 포함되어, 바로 로그인 정보를 수집.
5. 피싱 성공률 극대화
   • A/B 테스트를 통해 메시지 전송 시각 및 수신자 반응을 분석.
   • Threat Intelligence Feeds를 활용해 유사한 공격 시도를 차단하고, 보안팀이 즉각 대응하도록 알림.

⚠️ 주요 위험 포인트

• Zero‑Day CVE 사용 시, 패치 적용이 늦어지면 전면 시스템 마비 가능.
• 멀티팩터 인증( MFA ) 회피 시, 피싱이 한 단계도 쉽지 않게 만드는 보안 계층을 무력화.

방어 전략

• Email Gateway에서 Dynamic Analysis Sandbox를 적용해 악성 첨부 파일을 사전에 분리.
• User Training을 정기적으로 실시해 피싱 인식률을 90% 이상 유지.
• Patch Management를 자동화해 Zero‑Day CVE가 공개되는 즉시 패치 배포.

---

2️⃣ ️‍♂️ “무형 침투와 암호화 데이터 유출 (Stealthy Lateral Movement & Encrypted Exfiltration)”

단계	수행 동작	사용 기술	보안 우려
1️⃣	초기 침투 → 로컬 세션 확보	PowerShell, Mimikatz	인증정보 탈취
2️⃣	Lateral Movement	Pass‑the‑Hash, Kerberoasting, SMB Hijacking	내부 네트워크 확산
3️⃣	Persistence	Scheduled Task, Windows Registry Run Keys, WMI Event Subscriptions	감지 회피
4️⃣	Data Collection	Custom scripts, exfiltration tools (Exfiltration over HTTPS, DNS tunneling)	비밀 데이터 유출
5️⃣	Data Exfiltration	AES‑256 암호화, Steganography (이미지에 데이터 삽입)	트래픽 분석 회피

1️⃣ 초기 침투 → 인증 탈취

• Mimikatz를 통해 도메인 컨트롤러에서 NTLM 해시를 수집.
• Pass‑the‑Hash(PtH)로 관리자로 이동, Kerberoasting으로 서비스 티켓 추출.

2️⃣ Lateral Movement

• SMB(Server Message Block)를 활용해 네트워크 공유에 접근.
• CVE‑2020‑1472 (Zerologon) 같은 제로데이를 사용해 도메인 컨트롤러의 인증 강화를 우회.
• BloodHound를 이용해 도메인 내 Privilege Escalation 경로를 시각화 후 공격.

3️⃣ Persistence 기법

• Scheduled Task를 등록해 부팅 시 에이전트 재실행.
• Windows Registry Run Keys(HKLM\Software\Microsoft\Windows\CurrentVersion\Run) 삽입.
• WMI Event Subscriptions를 사용해 시스템 로그를 감시하면서도 실행을 숨김.

4️⃣ 데이터 수집 및 암호화

• 조직 내부에서 RDP, SSH 접속을 통해 파일 수집.
• Python 스크립트로 SQLite DB에서 데이터 추출 후 AES‑256로 암호화.
• Steganography를 통해 이미지 파일에 데이터 삽입 후, 외부로 전송.

5️⃣ 암호화된 데이터 유출

• HTTPS를 통한 C&C 서버와 암호화 채널 확보.
• DNS Tunneling(Dns2tcp)으로 트래픽을 작은 DNS 요청에 숨겨서 방화벽을 회피.
• Tor 노드를 경유해 익명성 확보.

⚠️ 핵심 위협

• Zero‑Day 취약점(Zerologon, PrintNightmare) 활용 시 네트워크 내부가 한 번에 노출.
• 암호화된 채널이기 때문에 전통적인 IDS/IPS로는 탐지 어려움.
• Steganography는 파일 기반 방어(AV)만으로는 완전 탐지 불가.

방어 및 대응

• Zero‑Day 패치 자동 적용, Patching Gap 최소화.
• Netflow 및 DNS Traffic Analysis를 통한 비정상 요청 탐지.
• Endpoint Detection & Response (EDR)에서 Fileless 행위 모니터링.
• Network Segmentation으로 DMZ와 Internal Network 분리, 중요 서버에 대한 접근 제한.
• Multi‑Layer MFA 및 Privileged Access Management (PAM) 도입으로 PtH 및 Kerberoasting 방지.

---

종합 권고 사항

영역	권고	구체적 구현
정책	Zero‑Day 대응	Patch Management 자동화, CVE 데이터베이스 주기적 업데이트
인프라	네트워크 세분화	VLAN, ACL, Zero‑Trust 모델 적용
보안 장비	Advanced EDR	Fileless 공격 탐지, Persistence 모듈 활성화
인적	보안 교육	피싱 시뮬레이션, 보안 인식 프로그램
운영	보안 운영 센터(SOC)	SIEM 연동, Threat Hunting 주기적 실행
거버넌스	규정 준수	ISO/IEC 27001, NIST CSF, GDPR, 국가별 규정 검토

핵심 메시지
팬텀 토러스와 같은 고급 APT는 단순히 악성코드 한 개를 전달하는 것이 아니라, 피싱 → 인증 탈취 → 무형 침투 → 암호화된 데이터 유출이라는 종합적인 기법을 통해 장기적인 스파이 활동을 수행합니다.
따라서 방어는 지식 기반(정책·패치), 기술 기반(EDR·SIEM·NAT), 인간 기반(교육·보안 인식) 세 가지 차원에서 통합적으로 실행돼야 합니다.

---

끝으로
팔로알토네트웍스 Unit 42의 보고는 한 번의 사고가 아니라 전 세계적으로 지속적인 스파이 활동이 진행 중임을 보여줍니다.
보안 담당자는 이와 같은 TTP(전술·기술·절차)를 기반으로 자체 조직의 방어 체계를 점검하고, 필요한 리소스를 확보해 장기적 대비를 준비해야 합니다.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=201115