블러디 울프, 중앙아시아 정부 기관을 사칭한 사이버 공격에 대한 보고서 발간

요약

2025년의 사이버 위협 태세에서 중앙아시아는 지정학과 사이버 스파이 행위가 교차하는 폭풍의 눈이 되고 있습니다. 최근에는 코드명블러디 울프최근 키르기스스탄과 우즈베키스탄과 같은 중앙아시아 국가를 대상으로 한 사이버 공격은 매우 기만적인 방법을 사용하는 위협 조직에 의해 시작되었습니다. 이 조직은 매우 기만적인 방법을 사용하고 있습니다.사회 공학는 Java 기반 로더(JAR 로더)를 사용하여 기존 원격 관리 도구를 배포하는 엔트리 포인트로 사용됩니다.NetSupport RAT이 회사는 여러 정부, 금융 및 IT 분야에 성공적으로 진출했습니다.

I. 사이버 공격 폭풍 전야: 중앙아시아의 사이버 위협 태세와 블러디 울프의 부상

1.1 중앙아시아: 디지털 게임의 새로운 지대

최근 몇 년 동안 디지털 전환이 가속화되면서 중앙아시아 국가(특히 카자흐스탄, 키르기스스탄, 우즈베키스탄)는 지정학적으로 점점 더 전략적인 국가가 되고 있습니다. 이에 따라 사이버 공격 활동도 급증하고 있습니다. 공격자들은 더 이상 기존의 단순한 사보타주에 국한되지 않고 더 교묘한 장기 잠복, 정보 도용, 중요 인프라를 겨냥한 침투로 전환하고 있습니다. 이러한 배경에서 블러디 울프 조직은 새롭게 부상하고 활동하는 위협 세력으로서 Group-IB와 같은 보안 조직으로부터 많은 관심을 받고 있습니다.

1.2 "피의 늑대" 초상화

블러디 울프는 정체는 밝혀지지 않았지만 매우 활동적인 중앙아시아의해커조직. 정보에 따르면 이 조직은 적어도 2023년 말부터 활동했으며, 초기에는 주로 카자흐스탄과 러시아에 있는 조직을 표적으로 삼아 STRRAT 및 NetSupport와 같은 상용 또는 오픈 소스 멀웨어를 일반적인 도구로 사용했다고 합니다.

자체적으로 제로데이 익스플로잇을 개발한 최고의 APT 조직과 달리 블러디 울프는 '저비용 고효율' 운영 방식을 보여주었습니다. 이들은 공개적으로 사용 가능한 도구(상품 멀웨어)와 잘 고안된 사회 공학 스크립트를 결합하여 매우 치명적인 공격 체인을 형성하는 데 특화되어 있습니다. 합법적인 도구와 상용 멀웨어를 기반으로 하는 이러한 '기생' 전략은 공격 비용을 줄일 뿐만 아니라 트래픽 시그니처가 정상적인 IT 관리 동작과 혼동되는 경우가 많아 보안 탐지의 어려움도 증가시킵니다.

II. 사냥의 시작: 타임라인과 공격 대상

2.1 확장 타임라인

키르기스스탄 검찰총장실 산하 국영기업인 Group-IB와 Ukuk의 공동 보고서에 따르면, 이번 공격은 시간적으로 명확한 단계를 거쳤다고 합니다:

• 2025년 6월: 키르기스스탄에서 처음으로 공격이 탐지되었습니다. 공격자들은 키르기스스탄의 주요 부문에 거점을 마련하기 위해 집중적으로 미끼를 뿌리기 시작했습니다.

• 2025년 10월: 우즈베키스탄이 새로운 주요 피해자가 되면서 공격의 범위가 크게 확대되었습니다. 이는 조직의 역량이 확장되었거나 배후에 있는 골드 마스터/책임자의 전략적 목표가 재조정되었음을 의미합니다.

2.2 타겟팅: 금융, 정부 및 IT

이 공격의 표적은 매우 정밀했으며 다음 세 가지 영역에 집중했습니다:

1. 정부 부문(정부): 특히 사법 및 외교와 같은 민감한 분야에서는 더욱 그렇습니다. 정부 내부 문서, 통신 기록에 대한 접근은 스파이 활동의 주요 목표입니다.

2. 재무: 은행, 결제 시스템 및 비은행 금융 기관을 대상으로 합니다. 이는 공격자가 정보 도용 외에 금전적 이해관계가 있거나 금융 부문을 불안정하게 만들려는 의도가 있음을 시사할 수 있습니다.

3. 정보 기술(IT): IT 서비스 제공업체와 소프트웨어 회사. 이는 전형적인 '공급망 공격'으로, IT 서비스 제공업체가 신뢰할 수 있는 채널을 통해 다운스트림 고객사에 침투하도록 통제하는 방식입니다.

III. 기술적 해체: 자바 기반 공격 체인에 대한 파노라마 분석

블러디 울프가 조직한 공격 체인은 기성 도구를 사용하지만, 매우 정교한 방식으로 결합되어 있습니다. 전체 공격 프로세스는 초기 액세스, 실행 및 지속성, 명령 및 제어(C2)의 세 가지 핵심 단계로 나눌 수 있습니다.

3.1 첫 방문: 공식 복장을 한 소셜 엔지니어링

공격의 시작점은 신중하게 만들어졌습니다.스피어 피싱(스피어 피싱) 메일.

• 신분을 위장하세요: 공격자들은 키르기스스탄의 법무부 또는 기타 신뢰할 수 있는 정부 기관으로 사칭했습니다. 공격자들은 신뢰성을 높이기 위해 매우 형식적으로 보이는 PDF 문서를 미끼로 사용했으며, 이메일에 공식 도메인 이름과 매우 유사한 가짜 도메인 이름(Typosquatting)을 사용했습니다.

• 심리적 조작: 이메일의 내용은 수신자에게 '중요한 문서', '법원 소환장' 또는 '규정 준수 통지서'를 보도록 요청하는 등 긴박감이나 권위감을 조성하는 경우가 많습니다.

• 기술적 함정: 피해자가 PDF 첨부 파일을 열거나 이메일의 링크를 클릭하면 파일 내용이 직접 표시되지 않고 자바 아카이브 파일(JAR)을 다운로드하도록 안내됩니다.

3.2 구현 단계: 치명적인 자바 함정

이는 공격의 가장 기술적인 측면으로, 자바 환경의 인기와 '소프트웨어 업데이트'에 대한 사용자의 관성을 악용하는 것입니다.

3.2.1 JAR 로더 메커니즘

피해자가 다운로드한 JAR 파일은 실제로는 악성 로더입니다. 공격자는 사용자가 파일을 실행하도록 속이기 위해 고전적인 단어 세트를 사용합니다:

"이 암호화/보호된 문서를 제대로 보려면 Java 런타임 환경을 설치하거나 업데이트해야 합니다."

소프트웨어 버전 문제로 인해 파일이 열리지 않는 것이 일반적인 기업 환경에서는 직원들이 아무 생각 없이 지시를 따르는 경향이 있기 때문에 이 속임수(사회공학적 미끼)는 매우 효과적입니다.

사용자가 이 JAR 파일을 더블 클릭하고 실행하면(시스템에 Java 환경이 설치되어 있거나 공격자가 설치하도록 유도한 경우), 악성 Java 바이트코드가 Java 가상 머신(JVM)에서 실행되기 시작합니다.

3.2.2 Java 8과 이전 기술의 재사용

기술 분석에 따르면 이러한 JAR 로더는 Java 8(2014년 3월 출시)을 기반으로 제작되었습니다. 이러한 오래된 버전의 Java를 사용하여 멀웨어를 빌드하는 것은 우연이 아니며, 그 이유는 다음과 같습니다:

1. 호환성을 극대화하세요: 많은 기업, 특히 정부 기관은 여전히 내부 시스템에 구형 Java 애플리케이션을 사용하고 있으므로 대상 환경에서는 Java 8을 널리 사용할 수 있습니다.

2. 최신 탐지 회피: 일부 최신 EDR(엔드포인트 탐지 및 대응) 도구는 최신 Java 버전을 기반으로 하는 악성 행위 시그니처 라이브러리에 더 민감할 수 있으며, 오래된 코드의 탐지에는 사각지대가 있을 수 있습니다.

3. 템플릿 생성: 연구진은 공격자가 사용자 지정 JAR 생성기(빌더) 또는 템플릿을 사용한 것으로 의심하고 있습니다. 즉, 해시 값을 변경하여 서명 기반 안티바이러스 소프트웨어를 우회하는 변종(다형성)을 빠르게 대량으로 생성할 수 있습니다.

3.3 핵심 페이로드: NetSupport RAT

JAR 로더가 성공적으로 실행되면 공격자가 제어하는 인프라(C2 서버)에서 다음 단계의 부하를 가져옵니다.NetSupport RAT.

3.3.1 NetSupport Manager의 무기화

넷서포트 매니저는 기업 IT 지원에 널리 사용되는 합법적이고 강력한 상용 원격 관리 도구입니다. 그러나 화면 모니터링, 파일 전송, 원격 명령 실행, 키 로깅 등 강력한 기능으로 인해 오랫동안 해킹 조직에 의해 악용되어 왔으며 전형적인 이중 사용 소프트웨어가 되었습니다.

3.3.2 버전 고고학: 2013년의 유령

놀랍게도 이 공격에 사용된 NetSupport RAT의 버전은 2013년 10월로 거슬러 올라갑니다. 공격자들이 12년 된 소프트웨어를 좋아하는 이유는 무엇일까요?

• 안정성: 이전 버전은 오랜 기간 동안 안정적으로 사용되어 왔으며, 최신 버전처럼 필수 라이선스 유효성 검사나 클라우드 원격 분석 기능이 포함되어 있지 않아 크랙 및 이름 해제(크랙/무효화)가 용이합니다.

• 살인으로부터의 자유: 많은 최신 보안 프로그램은 기본적으로 NetSupport의 디지털 서명을 신뢰하거나 고위험 맬웨어가 아닌 "잠재적으로 원치 않는 프로그램(PUP)"으로 취급하여 공격자가 이를 악용할 수 있는 기회를 제공합니다.

IV. 깊은 지속성과 탈출 기술

피해 호스트를 지속적으로 제어하고 시스템 재부팅 후에도 온라인 상태로 되돌리기 위해 Bloody Wolf는 여러 지속성 메커니즘을 배포합니다.

4.1 3중 지속성 전략

기술적 분석을 통해 매우 높은 생존율을 보장하는 세 가지 병렬적 지속 수단을 확인했습니다:

1. 예약된 작업: 공격자는 Windows슈타스크명령은 예약된 작업을 생성합니다. 이 작업은 특정 시간 또는 시스템이 유휴 상태일 때 악성 스크립트를 자동으로 실행하도록 구성됩니다. 관리자가 예약된 작업 목록을 매일 확인하는 경우가 거의 없기 때문에 이 접근 방식은 더욱 은밀합니다.

2. 레지스트리 실행 키: 고전적인 지속성 수단. 다음과 같은 공격자는HKCU\소프트웨어\마이크로소프트\윈도우\현재 버전\실행또는 이와 유사한 경로를 통해 악성 JAR 또는 배치 파일을 가리키는 키 값을 추가합니다. 사용자가 Windows에 로그온하자마자 악성 프로그램이 함께 실행됩니다.

3. 시작 폴더 드롭(시작 폴더): 가장 간단하고 조잡하지만 효과적인 방법입니다. 공격자가 배치 스크립트(.bat)를 배포하여1TP3탭데이터%\소프트웨어\윈도우\시작 메뉴\프로그램\스타트업디렉터리에 있습니다. 이 스크립트의 역할은 일반적으로 NetSupport 클라이언트를 조용히 시작하고 C2에 연결하는 것입니다.

4.2 지오펜싱: 정밀 타격을 위한 마커

우즈베키스탄에 대한 공격 단계에서 연구원들은 보다 정교한 탈출 기술인 지오펜싱을 관찰했습니다.

4.2.1 기술적 실현

공격자의 서버는 IP 필터링 규칙으로 구성되어 있습니다. HTTP/HTTPS 요청이 악성 서버에 도착하면 서버는 요청 소스 IP의 지리적 위치를 확인합니다:

• 우즈베키스탄 영토에서: 서버는 악성 JAR 파일 다운로드 스트림 또는 실행 지침을 반환합니다.

• 우즈베키스탄 외부에서 온 사람(예: 보안 연구원, 샌드박스 환경, 스캐너): 서버는 즉시 HTTP 302 리디렉션을 반환하여 요청을 합법적인 우즈베키스탄 전자정부 웹사이트로 리디렉션합니다.data.egov.uz.

4.2.2 전략적 중요성

이 '지오 펜싱' 기술은 전술적 가치가 매우 높습니다:

• 반대 분석: 피싱 링크를 직접 방문하는 전 세계의 보안 분석가(예: 미국 또는 유럽에 기반을 둔 위협 인텔리전스 회사)는 합법적인 정부 웹사이트만 보게 되므로 해당 링크를 안전한 것으로 잘못 판단할 수 있습니다.

• 정확성: 공격 리소스가 실제 표적에만 사용되도록 하여 국제 법 집행 기관에 노출될 위험을 줄이고 다른 국가의 사용자에게 '실수로' 피해를 입히는 것을 방지하세요.

V. 블러디 울프 조직이 바라본 중앙아시아 사이버 보안 방어의 과제

5.1 신뢰 체인의 취약성

블러디 울프 공격의 핵심은 '정부 기관'에 대한 대중과 공무원의 무조건적인 신뢰를 악용하는 것입니다. '기밀 문서'가 첨부된 '법무부'에서 보낸 이메일이라고 주장하는 경우, 피해자는 공포감이나 복종심에 사로잡혀 경계를 늦추는 경우가 많습니다. 인간의 본성을 악용하는 이러한 공격은 어떤 방화벽으로도 완벽하게 차단할 수 없는 취약점입니다.

5.2 합법적인 수단의 불법적 오용(토지 소유권 침해)

넷서포트 RAT의 사용은 '현지에서 생활하기'(LotL) 공격 전략의 인기를 다시 한 번 확인시켜 줍니다. 공격자들은 복잡한 백도어를 작성하는 데 어려움을 겪는 대신 합법적인 관리 도구를 사용하고 있습니다. 이는 방어자들에게 정상적인 IT 운영을 방해하지 않으면서 합법적인 NetSupport 트래픽과 악성 C2 트래픽을 구별하는 방법이라는 큰 과제를 제기합니다.

5.3 Java 환경의 장기적인 문제점

크로스 플랫폼 언어인 Java의 "한 번 작성하면 어디서나 실행할 수 있는" 특성은 멀웨어 개발자들도 악용합니다. JAR 파일은 기본적으로 압축된 패키지로 파일 유형에 따라 많은 게이트웨이 필터를 쉽게 우회할 수 있습니다(특히 위장 또는 난독화된 경우). 또한 조직 내에서 이전 Java 버전에 의존하기 때문에 Java 런타임 환경을 완전히 제거하는 것은 비현실적이며 영구적인 공격 표면을 남깁니다.

VI. 방어 권장 사항 및 완화 조치

블러디 울프 조직과 이와 같은 위협에 맞서 기업과 정부 기관은 심층적인 방어 체계를 구축해야 합니다.

6.1 기술적 방어 수준

1. 엄격하게 제한된 Java 런타임 환경:

   • 비즈니스에서 Java를 사용하지 않는 경우 완전히 제거해야 합니다.

   • 반드시 사용해야 하는 경우에는 연결 규칙을 구성하여.jar파일을 두 번 클릭하면 바로 실행됩니다(.jar와 함께java.exe파일 연결을 사용하여 텍스트 편집기로 열거나 정책을 통해 서명된 JAR만 강제로 실행하도록 설정할 수 있습니다.)

   • 제어java.exe어쩌면javaw.exe특히 비영구 포트 또는 해외 IP에 대한 네트워크 연결이 시작되었습니다.

2. 네트워크 수준 차단:

   • IOC 차단: 위협 인텔리전스 데이터베이스를 적시에 업데이트하고 블러디 울프 조직의 알려진 C2 도메인 및 IP를 차단합니다.

   • 프로토콜 분석: 방화벽 또는 IDS에서 NetSupport 프로토콜 기능의 감지를 사용 설정합니다. 정상적인 NetSupport 트래픽에는 일반적으로 고정 포트 또는 핸드셰이크 서명이 있으므로 비정상적인 트래픽은 차단해야 합니다.

   • 지리적 차단: 특정 국가에서만 활동하는 정부 기관의 경우 관련 없는 국가 IP에 대한 액세스를 제한하는 것을 고려할 수 있지만 이는 해당 국가에 대한 표적 공격에 대한 방어책이 될 수 없습니다.

3. 엔드포인트 보호(EDR) 최적화:

   • 레지스트리 시작 항목 모니터링(실행 키) 및 시작 폴더 쓰기 작업을 수행합니다.

   • Powershell, CMD 및 WScript에서 생성된 비정상적인 하위 프로세스(예: Java 호출)에 대한 동작 차단.

   • 이전 버전의 원격 관리 도구(예: NetSupport 2013)에 플래그를 지정하고 격리합니다.

6.2 프로세스 및 인력 관리

1. 보안 인식 교육:

   • 법무부, 국세청 등의 기관을 사칭하는 시나리오를 시뮬레이션하는 표적 피싱 훈련이 정기적으로 실시되고 있습니다.

   • 직원 교육하기절대로.이메일 메시지가 표시되어 소프트웨어나 업데이트를 설치하는 경우, 소프트웨어 업데이트는 IT 부서를 통해 균일하게 배포해야 합니다.

2. 최소 권한의 원칙:

   • 일반 직원 계정에는 소프트웨어 설치 권한이 없어야 합니다. 악성 JAR을 다운로드하더라도 시스템 수준 레지스트리 또는 설치 디렉터리를 수정할 수 있는 권한이 없으면 공격자의 지속 능력이 크게 감소합니다.

VII. 결론

블러디 울프 조직의 중앙아시아에서의 확장 활동은 오늘날의 지역 APT 공격의 축소판입니다. 이들은 최고 수준의 해킹 기술 없이도 공격 대상의 심리를 정확히 파악하고 구식 기술을 영리하게 조합하는 것만으로도 국가 차원의 방어 체계를 무너뜨릴 수 있습니다.

이 사건은 사이버 보안이 단순한 코드 싸움이 아니라 심리와 인식의 싸움이라는 사실을 일깨워줍니다. 중앙아시아를 비롯한 전 세계의 조직들은 고가의 보안 장비를 배치하는 것뿐만 아니라 가장 취약한 고리인 사람을 보호하고 '합법적인 도구의 불법적 사용'을 동적으로 모니터링할 수 있는 역량을 구축하는 데 초점을 맞추고 방어에 나서야 합니다. 지정학적 상황이 변동함에 따라 이와 유사한 '저비용 고수익' 공격은 앞으로 더욱 심화될 것입니다.

부록: 위협 지표(IOC) 참조

참고: 다음은 인텔리전스 설명에서 요약한 기능 유형일 뿐이며, 구체적인 해시 및 도메인 이름은 Group-IB 공식 보고서를 참조하시기 바랍니다.

• 문서 유형: .jar, .pdf (악성 링크 포함). .bat

• 멀웨어 제품군: NetSupport Manager(v2013), Java 로더

• 지속성 경로:

  • 1TP3탭데이터%\소프트웨어\윈도우\시작 메뉴\프로그램\시작\*.bat

  • HKCU\소프트웨어\마이크로소프트\윈도우\현재 버전\실행

• 네트워크 특성:

  • 리디렉션 data.egov.uz (비타겟 IP의 경우)

  • C2 통신은 NetSupport 비공개 프로토콜을 사용합니다.