아시아 정부를 노리는 Gelsemium APT - 보안기사 읽기 2주차 7일

Gelsemium APT는 여러 아시아 정부들을 stealty하게 타겟으로 하는 것으로 유명합니다.

그 외로도 2014년부터  교육, 전기 제조업 등을 노렸습니다.

조용한만큼 높은 기술과 프로그래밍 지식수준을 보여줍니다.

2022년부터 6개월동안 공격을 했습니다.

 

 

 

팔로알토 네트워크에 따르면  

타임라인에 따라 공격에 사용했던 툴들이 공개되었습니다.

 

 

 

먼저 웹 취약점을 exploit해서 web shell 을 설치했습니다.

 'reGeorg,' 'China Chopper,' and 'AspxSpy' 라는 공개적으로 사용가능한 쉘들이며 많은 그룹들이 사용합니다.

 

당연하게도 웹쉘을 사용해서 

recon 정찰을 하거나, SMB에 접속해 횡적 움직임을 보이거나, 다른 payload를 실행했습니다.

 

 

또 다른 툴이라 한다면

횡적 움직임, data 수집, priv esc에 도움을 주었던

OwlProxy, SessionManager, Cobalt Strike, SpoolFool, and EarthWorm

입니다.

EarthWorm= SOCKS 터널링

SpoolFool = 오픈소스 로컬 priv esc 

 

OwlProxy = custom 이며 HTTP proxy , 백도어 툴입니다.타이완 정부를 공격했을 때 사용했기도 합니다.

 

DLL을 시스템 disk에 저장시키고 HTTP 서비스를 만들며 실행시켰습니다.

이건 오는 요청의 URL 패턴에 커맨드를 숨기는 것을 모니터링합니다.

커맨드는 C2서버로 부터 ㅇ파일을 업로드 하고, 실행하고, 다른 시스템으로 프록시하는 것이였습니다(터널링). 

 

시스템은 OwlProxy 를 막고있기 때문에 EarthWorm로 터널링해서 우회했습니다.