오픈소스 도구 변조·로그 인젝션으로 확산된 Nezha 기반 Gh0st RAT 공격
헌트리스(Huntress)가 포착한 공격에서 해커들은 합법적인 오픈소스 모니터링 도구인 ‘네자(Nezha)’를 악용하고, ‘로그 중독(로그 인젝션)’ 기법으로 웹셸을 심어 원격제어 악성코드인 고스트 랫(Gh0st RAT)을 배포한 정황을 확인했다. 이번 캠페인은 동아시아를 중심으로 확산된 것으로 보고되며, 공격 수법의 정교함이 돋보인다.
초기 침입 경로 및 로그 인젝션 기법
헌트리스 분석에 따르면 공격자는 먼저 외부에 노출된 phpMyAdmin 패널의 취약점을 이용해 시스템에 접근했다. 접속 직후 인터페이스 언어를 간체 중국어로 변경한 흔적이 발견되어 공격자의 환경 단서를 제공했다.
특히 이번 공격은 일반적인 파일 업로드 방식이 아니라 로그 파일을 악용하는 ‘로그 중독’ 기법을 사용했다. 공격자는 데이터베이스의 쿼리 로그 기능을 활성화하고 로그 파일 저장 경로를 웹 루트 내 .php 확장자로 설정했다. 이후 SQL 쿼리 내부에 한 줄짜리 PHP 웹셸 코드를 삽입해 쿼리 실행 시 로그 파일에 웹셸이 그대로 기록되도록 만들었다.
이렇게 생성된 .php 파일은 실행 가능한 웹셸이 되어, 공격자는 HTTP POST 요청만으로 원격 명령을 실행할 수 있었다. 헌트리스는 로그 파일을 .php로 저장한 점을 핵심이라고 지적하며, 합법적 로그 기록을 악성 실행 통로로 전환한 사례라고 분석했다.
웹셸 관리와 권한 확인
초기 웹셸 확보 후 공격자는 ‘앤트소드(AntSword)’ 같은 웹셸 관리 도구를 사용해 서버 접근을 용이하게 하고, whoami 등 명령으로 권한 수준을 확인한 뒤 추가 침투를 진행했다. 이 과정에서 공격자는 시스템 내부에서의 권한 상승과 측면 이동을 시도했을 가능성이 높다.
Nezha 설치 및 Gh0st RAT 전개
두 번째 단계에서 공격자는 Nezha 에이전트를 설치해 정상적인 관리·모니터링 기능을 가장했다. Nezha는 본래 서버 상태 모니터링과 원격 명령 실행이 가능한 오픈소스 도구지만, 이번 캠페인에서는 악성 원격제어 인프라의 일부로 악용됐다.
공격자는 Nezha를 통해 외부에서 명령을 발령했고, 이후 PowerShell 등을 실행해 마이크로소프트 디펜더의 일부 폴더를 예외 처리하도록 설정했다. 탐지 회피 후에는 단계적으로 Gh0st RAT을 설치해 지속성을 확보했다. 악성코드는 시스템 내 가짜 실행파일(예: SQLlite.exe 유사 파일) 등을 심고, 암호화된 채널로 C2 서버와 통신했다. 일부 변종은 도메인 생성 알고리즘(DGA)을 이용해 주기적으로 새로운 C2를 생성하는 기능을 보였다.
영향 범위와 지역별 동향
헌트리스는 이번 공격이 동아시아(대만·일본·한국·홍콩 등)를 중심으로 확산됐으며, 100대 이상의 감염 사례가 확인되었다고 보고했다. 그 외에도 싱가포르, 말레이시아, 인도, 영국, 미국 등 다양한 지역에서 감염 흔적이 발견되었다.
흥미로운 점은 공격자가 운영하는 일부 Nezha 대시보드가 러시아어로 설정되어 있었다는 사실이다. 사용된 도구와 언어 패턴은 중국 연계 위협 행위자의 특성과 유사하다는 지적도 있으나, 공식 귀속은 신중을 기하고 있다. 헌트리스는 최초 감염 시점을 2025년 6월경으로 추정하면서 더 이전부터 활동했을 가능성도 배제하지 않았다.
보안적 시사점과 권고
이번 사건은 합법적인 오픈소스 도구를 변조하거나 정상 활동을 위장하는 방식의 공격이 점점 증가하고 있음을 시사한다. 보안 전문가들은 다음과 같은 즉각적·중장기적 조치를 권고하고 있다.
- 외부에서 접근 가능한 phpMyAdmin 등 관리 패널은 가능한 한 외부 접근을 차단하거나 강력한 인증(MFA 포함)을 적용할 것.
- 데이터베이스 로그 파일 저장 경로가 웹 루트로 설정되어 있지 않은지 점검하고, 로그 파일 확장자·퍼미션을 검토할 것.
- 의심스러운 쿼리나 로그 파일 변조 흔적을 탐지할 수 있도록 로그 모니터링 및 무결성 검사(예: 파일 해시 검증)를 도입할 것.
- 서버에 설치되는 에이전트(Nezha 등) 및 오픈소스 도구의 무결성을 검증하고, 불필요한 에이전트 설치를 제한할 것.
- 엔드포인트 보안 솔루션의 예외 규칙을 주기적으로 검토하고, 자동화된 규칙 변경 시 알림 및 승인 절차를 마련할 것.
- 침해 발생 시에는 가능한 범위에서 빠르게 네트워크 분리, 포렌식 수집, 자격증명 변경(크리덴셜 회수) 및 위협 헌팅을 실시할 것.
결론
헌트리스가 보고한 이번 공격은 공격자들이 널리 사용되는 오픈소스 도구를 악용하고, 로그 기록 같은 정상적 메커니즘을 악성 실행 통로로 바꾸는 등 탐지 우회를 위한 창의적 기법을 활용함을 보여준다. 조직은 관리 패널 노출 차단, 로그 저장 경로와 권한의 엄격한 통제, 에이전트 및 툴의 무결성 검증, 그리고 종합적인 로그 모니터링 체계를 강화해야 한다. 이를 통해 유사한 공격에 대한 초기 탐지와 신속한 대응 역량을 높일 수 있다.
'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글
| 북한 연계 해킹조직, BeaverTail·OtterCookie 기능 통합해 공격 툴 고도화 (0) | 2025.10.19 |
|---|---|
| 민간 의료기관, 보안관제 서비스 가입률 0.06%…보안 인식 심각한 수준 (0) | 2025.10.19 |
| 2025 AIS 컨퍼런스 - AI 보안 전문가들의 만남 (1) | 2025.10.19 |
| F5 네트웍스, 개발 환경 해킹으로 BIG-IP 소스코드 유출 (0) | 2025.10.19 |
| 2025 AI 준비지수’ 발표 — 글로벌 대비 한국 기업의 AI 활용도 낮아 (0) | 2025.10.19 |