트렌드: 동아시아 중심 해킹, 오픈소스 도구 ‘Nezha’가 무기로 변하다

,

중국 연계 해커, 로그 조작 통해 원격제어 악성코드 ‘고스트 랫(Gh0st RAT)’ 유포

개요

최근 중국과 연계된 해커 조직이 합법적인 오픈소스 서버 모니터링 도구 ‘네자(Nezha)’ 를 공격 도구로 변조하여, 악성 원격제어 프로그램 ‘고스트 랫(Gh0st RAT)’ 을 유포한 정황이 포착되었다.

이번 공격은 사이버보안 기업 헌트리스(Huntress) 가 지난 8월에 발견했으며,
피해 지역은 대만, 일본, 한국, 홍콩 등 동아시아 중심으로 100대 이상의 시스템에서 확인됐다.

공격 과정 정리

1. 초기 침투 – phpMyAdmin 취약점 악용

공격자는 외부에 노출된 phpMyAdmin 패널 취약점을 이용해 시스템에 접근했다.
침입 후 인터페이스 언어를 간체 중국어로 변경한 흔적이 포착되어, 공격자의 배경을 유추할 수 있었다.

2. 웹쉘 삽입 – ‘로그 중독(Log Injection)’ 기법

일반적인 파일 업로드 대신, 데이터베이스 일반 쿼리 로그 기능을 이용한 특이한 방식이었다.

*쿼리 로그 경로를 웹 디렉토리 내 .php 확장자 파일로 설정

*SQL 쿼리 안에 한 줄짜리 PHP 웹쉘 코드 삽입

*쿼리 실행 시 로그가 코드 형태로 저장되어 곧바로 실행 가능

결과적으로, 평범한 로그 파일이 실행 가능한 웹쉘로 변질되어
공격자는 단순한 HTTP 요청만으로 서버 명령을 실행할 수 있게 되었다.

내부 침투 및 악성 행위

3. 웹쉘 도구 ‘앤트소드(AntSword)’ 사용

공격자는 웹쉘 관리 툴인 AntSword 로 서버에 접속,
whoami 명령을 실행해 권한 수준을 확인하고 본격적인 침입을 진행했다.

4. ‘네자(Nezha)’를 통한 원격제어

이후 공격자는 서버에 오픈소스 모니터링 툴인 Nezha 에이전트를 설치했다.

*원래: 서버 상태 모니터링 용도

*변조 후: 명령 제어(C2) 기능을 수행하는 악성 도구로 전환

5. 탐지 우회 및 악성코드 실행

PowerShell을 이용해 Microsoft Defender 예외 폴더 등록 → 보안 탐지 회피
이후 ‘Gh0st RAT’ 원격제어 악성코드를 설치해 시스템을 지속적으로 제어했다.

Gh0st RAT은 가짜 실행파일(SQLlite.exe 등)을 만들어 지속성을 확보하고,
암호화된 채널로 외부 C2 서버와 통신했다.
일부 변종은 도메인 생성 알고리즘(DGA) 으로 새로운 명령 서버를 자동 생성해 탐지 회피 능력을 높였다.

피해 지역 및 특징

*주요 피해: 한국, 대만, 일본, 홍콩

*그 외 감염: 싱가포르, 말레이시아, 인도, 영국, 미국 등

*공격자는 러시아어 인터페이스의 Nezha 대시보드를 사용했으나,
도구 선택과 코드 패턴은 중국 해커 조직의 전형적 특성과 일치.

보안 분석 포인트

항목             내용

공격 수법  phpMyAdmin 취약점 + 로그 인젝션(Log Injection)

악용 도구  Nezha (오픈소스 모니터링 툴), AntSword (웹쉘 관리)

악성코드   Gh0st RAT (원격제어, 지속성 유지, 암호화 통신)

탐지 회피   Defender 예외등록, DGA를 통한 C2 우회

피해 지역   동아시아 중심 (한국 포함 100여대 감염)

시사점 및 대응 방안

    1. 오픈소스 도구 악용 증가
        • 합법적 툴(Nezha, PowerShell, phpMyAdmin 등)을 변조하거나 악용하는 사례 급증.

        • 기존 시그니처 기반 탐지만으로는 한계.

    1. phpMyAdmin 외부 접근 차단
        • 관리 콘솔은 반드시 내부망 또는 VPN을 통해서만 접근 가능하도록 설정.

    1. 로그 파일 실행 방지 설정
        • 웹 루트에 .php 확장자를 가진 로그 파일이 생성되지 않도록 서버 설정 강화.

    1. 정기 점검 및 웹쉘 탐지 솔루션 활용
        • 비정상적인 로그 파일, 알 수 없는 PHP 파일 존재 여부를 주기적으로 점검.

        • AI 기반 코드 형태 탐지 알고리즘을 가진 솔루션 도입 고려.

결론

이번 사례는 “합법적인 오픈소스 도구도 공격 무기가 될 수 있다”는 것을 보여준다.
공격자는 기존 보안탐지를 피하기 위해 정상 행위로 위장한 공격 흐름을 적극 활용하고 있다.
보안 담당자는 툴 자체의 신뢰성보다는 ‘행위 기반 탐지’와 ‘로그 모니터링 체계’ 강화에 집중해야 한다.

📎 출처: 데일리시큐 (Dailysecu)
📅 최초 발견: 2024년 8월 / 보고: Huntress Labs