1. 개요
최근 중국과 연계된 해커 조직이 합법적인 오픈소스 서버 모니터링 도구 ‘네자(Nezha)’ 를 공격 도구로 변조하여, 악성 원격제어 프로그램 ‘고스트 랫(Gh0st RAT)’ 을 유포한 정황이 포착되었다. 이번 공격은 사이버보안 기업 헌트리스(Huntress) 가 지난 8월에 발견했으며, 피해 지역은 대만, 일본, 한국, 홍콩 등 동아시아 중심으로 100대 이상의 시스템에서 확인됐다.
/
2. 공격 과정 정리
- 초기 침투 – phpMyAdmin 취약점 악용 : 공격자는 외부에 노출된 phpMyAdmin 패널 취약점을 이용해 시스템에 접근했다. 침입 후 인터페이스 언어를 간체 중국어로 변경한 흔적이 포착되어, 공격자의 배경을 유추할 수 있었다.
- 웹쉘 삽입 – 로그 중독(Log Injection) 기법 : 일반적인 파일 업로드 대신, 데이터베이스 일반 쿼리 로그 기능을 이용한 특이한 방식이었다. 쿼리 로그 경로를 웹 디렉토리 내 .php 확장자 파일로 설정하여 SQL 쿼리 안에 한 줄짜리 PHP 웹쉘 코드 삽입 후 쿼리 실행 시 로그가 코드 형태로 저장되어 곧바로 실행 가능해진다. 결과적으로, 평범한 로그 파일이 실행 가능한 웹쉘로 변질되어 공격자는 단순한 HTTP 요청만으로 서버 명령을 실행할 수 있게 되었다.
/
3. 내부 침투 및 악성 행위
- 웹쉘 도구 ‘앤트소드(AntSword)’ 사용 : 공격자는 웹쉘 관리 툴인 AntSword 로 서버에 접속,
whoami 명령을 실행해 권한 수준을 확인하고 본격적인 침입을 진행했다. - 네자(Nezha)를 통한 원격제어 : 이후 공격자는 서버에 오픈소스 모니터링 툴인 Nezha 에이전트를 설치했다. Nezha는 원래 서버 상태 모니터링 용도로 쓰이지만, 변조 후 명령 제어(C2) 기능을 수행하는 악성 도구로 전환된다.
/
4. 피해 지역 및 특징
- 주요 피해: 한국, 대만, 일본, 홍콩
- 그 외 감염: 싱가포르, 말레이시아, 인도, 영국, 미국 등
- 공격자는 러시아어 인터페이스의 Nezha 대시보드를 사용했으나, 도구 선택과 코드 패턴은 중국 해커 조직의 전형적 특성과 일치.
/
5. 보안 분석 포인트
- 공격 수법 : phpMyAdmin 취약점 + 로그 인젝션(Log Injection)
- 악용 도구 : Nezha (오픈소스 모니터링 툴), AntSword (웹쉘 관리)
- 악성코드 : Gh0st RAT (원격제어, 지속성 유지, 암호화 통신)
- 탐지 회피 : Defender 예외등록, DGA를 통한 C2 우회
- 피해 지역 : 동아시아 중심 (한국 포함 100여대 감염)
/
6. 시사점 및 대응 방안
- 오픈소스 도구 악용 증가 : 합법적 툴(Nezha, PowerShell, phpMyAdmin 등)을 변조하거나 악용하는 사례 급증, 기존 시그니처 기반 탐지만으로는 한계.
- phpMyAdmin 외부 접근 차단 : 관리 콘솔은 반드시 내부망 또는 VPN을 통해서만 접근 가능하도록 설정.
- 로그 파일 실행 방지 설정 : 웹 루트에 .php 확장자를 가진 로그 파일이 생성되지 않도록 서버 설정 강화.
- 정기 점검 및 웹쉘 탐지 솔루션 활용 : 비정상적인 로그 파일, 알 수 없는 php파일 존재 여부를 주기적으로 점검. AI 기반 코드 형태 탐지 알고리즘을 가진 솔루션 도입 고려.
/
7. 결론
이번 사례는 합법적인 오픈소스 도구도 공격 무기가 될 수 있다는 것을 보여준다. 공격자는 기존 보안탐지를 피하기 위해 정상 행위로 위장한 공격 흐름을 적극 활용하고 있다. 보안 담당자는 툴 자체의 신뢰성보다는 ‘행위 기반 탐지’와 ‘로그 모니터링 체계’ 강화에 집중해야 한다.
/
8. 출처
- 출처 : 데일리시큐 (Dailysecu)
- 최초 발견 : 2024년 8월 / 보고: Huntress Labs