Exchange 취약점 기반 ShadowPad 배포를 통한 국가 기반 네트워크 장기 점유 전략

Context

Microsoft Exchange Server의 알려진 취약점을 악용한 고도화된 APT 공격 그룹의 인프라 침투 사례임. 초기 진입 후 즉각적인 활동 대신 최대 8개월의 잠복기를 가지는 Sleep Cycle 전략을 통해 보안 탐지 시스템의 임계값을 회피하는 특성을 보임.

Technical Solution

• ProxyLogon(CVE-2021-26855) 및 React2Shell(CVE-2025-55182) 취약점 체이닝을 통한 Remote Code Execution 권한 획득
• Godzilla Web Shell 설치를 통한 지속적인 Command & Control 채널 확보 및 초기 교두보 구축
• ShadowPad 및 Linux NoodleRat 등 검증된 Backdoor 배포를 통한 C2 인프라의 장기적 제어권 유지
• RingQ 오픈소스 패커 활용 및 Windows 시스템 바이너리 리네이밍을 통한 시그니처 기반 EDR 탐지 우회
• WMIC 및 Evil-CreateDump 활용으로 관리자 권한 탈취 및 내부망 Lateral Movement 수행
• 정상 도메인 및 보안 제품 사칭 도메인을 활용한 C2 트래픽의 정상화(Normalization) 처리