🕵️ UNC5174, 다시 수면 위로…이번엔 ‘파일리스’와 WebSocket으로!

2025년 4월, 클라우드 보안 기업 Sysdig은 오랜만에 모습을 드러낸 중국 정부 배후의 위협그룹 UNC5174의 은밀한 공격 캠페인을 공개했습니다.

이 그룹은 최근까지 조용히 활동해 왔지만,
2024년 11월부터 VShell, Snowlight, Silver라는 고유의 툴셋을 활용해
미국·영국·캐나다 등 서방 국가의 연구기관, 정부 조직, NGO, 기술 기업 등을 대상으로 공격을 감행하고 있었습니다.

---

🎯 주요 포인트 정리

항목	내용
공격자명	UNC5174 (중국 국가지원 APT)
주요 타깃	미국, 영국, 캐나다, 아시아태평양 지역 NGO, 에너지·헬스케어 산업 등
사용 도구	🧪 Snowlight, 🛠 Silver, 🧬 VShell
실행 방식	파일리스(Fileless) + WebSocket C2 + 리눅스 특화 기법
특이점	오픈소스 도구 사용 → 탐지 회피 및 익명성 강화

---

⚙️ 공격 체인: 내부자 수준의 정교함

🧩 초기 침투 (Initial Access)

• UNC5174는 사용자 장비에 **드로퍼(Dropper)**를 심어
  Snowlight와 Silver 악성코드를 메모리에 삽입

🧪 악성코드 실행

• Snowlight: 리눅스 내부 구조를 잘 이해한 정교한 멀웨어로,
  지속성(Persistence), 탐지 우회, 코드 인젝션 등 고급 기능 수행
• Silver: C2 채널로 사용되는 보조 멀웨어

🧬 VShell: 오픈소스 백도어

• Cobalt Strike와 유사한 오픈소스 도구
• 디스크에 쓰지 않고 메모리에서만 작동하는 파일리스 백도어
• 2차 C2 채널로 작동하며, 숨은 통로 역할 수행

🌐 WebSocket을 이용한 C2 통신

• 일반 HTTP나 HTTPS 대신 WebSocket 채널 사용
• 보안 솔루션 우회를 위한 비정형 트래픽, 암호화된 실시간 통신 수행

---

📦 툴셋 소개: 어떤 도구들이 쓰였을까?

🔥 Snowlight

• UNC5174 고유 멀웨어
• 리눅스 기반 시스템에서 권한 상승, 감시 우회, 루트킷 행위 수행

🔧 Silver

• 공격자의 C2 통제와 명령 수행을 위한 툴
• 일반적인 RAT 기능 포함

🔓 VShell

• 오픈소스 기반의 Cobalt Strike 클론
• 파일리스 백도어 → 탐지 어려움
• 다양한 보안 솔루션 우회

---

🕵️‍♀️ 왜 ‘오픈소스 도구’가 위험한가요?

오픈소스 도구는 공격자에게 다음과 같은 이점을 제공합니다:

• ✅ 비용 없음 (Free)
• ✅ 흔하게 사용됨 → 비국가 공격자와의 구분 어려움
• ✅ 커스터마이징 용이
• ✅ 탐지 회피와 익명성 유지에 유리

"오픈소스를 쓰면, 스크립트 키디나 범용 해커와 구분이 어려워져 국가 배후 추적을 어렵게 만듭니다."
– Alessandra Rizzo, Sysdig

---

🛡 보안 담당자를 위한 대응 전략

1️⃣ VShell 탐지 룰 적용

• Sysdig에서 공개한 YARA 룰 및 Falco 룰을 적극 활용하세요.

2️⃣ WebSocket 트래픽 감시

• 비정상적인 WebSocket 연결 시도, 지속적 접속 유지, 암호화된 페이로드 전송 등을 SIEM에서 탐지 룰로 설정

3️⃣ 파일리스 감지 기반 EDR 강화

• 메모리 내 DLL 주입, 비정상 PowerShell·bash 동작 감시

4️⃣ 리눅스 서버 로깅 강화

• Snowlight는 리눅스 시스템 특화 멀웨어이므로,auditd, syslog, systemd 로그에 대한 정밀 모니터링이 필요합니다.

---

🚨 왜 이 공격이 중요한가?

• UNC5174는 중국 정부와 연계된 위협그룹
• 오랜 시간 수면 아래에서 탐지를 회피하며 침투
• 오픈소스 도구로 익명성 유지 + 탐지 우회 + 비용 절감
• **실시간 암호화 통신(WebSocket)**으로 보안 솔루션 무력화

이 공격은 단순한 해킹이 아닌, 지능형 사이버 스파이 행위에 가깝습니다.