UAT-10027 캠페인, 미국 교육·의료 분야를 겨냥한 신종 Dohdoor 백도어 배포

정교한 사이버 스파이 캠페인, 미국 핵심 분야를 공격

Cisco Talos는 2025년 12월 이후 미국 교육 및 의료 분야를 대상으로 지속적인 악성 캠페인을 진행 중인, 이전에는 문서화되지 않았던 위협 활동 클러스터 UAT-10027을 식별했다. 이 캠페인의 주요 목적은 **DNS-over-HTTPS(DoH)**를 활용한 은밀한 명령 및 제어(C2) 통신을 수행하는 신종 백도어 Dohdoor의 배포다.

Dohdoor 백도어의 기술적 세부 사항

Dohdoor 백도어는 위협 행위자의 공격 기법에서 중요한 진화를 보여주며, DoH를 활용해 기존 네트워크 모니터링 및 탐지 메커니즘을 회피한다. DoH는 DNS 쿼리를 HTTPS 트래픽 내에 암호화하여 보안 팀이 악성 통신을 검사하거나 차단하기 어렵게 만든다. Dohdoor의 주요 기술적 특징은 다음과 같다:

• 은밀한 C2 통신: 암호화된 HTTPS 트래픽 내에 DNS 요청을 임베딩하여 기존 DNS 필터링 및 로깅 솔루션을 우회한다.
• 지속성 메커니즘: 레지스트리 수정 및 예약된 작업 등 여러 지속성 기법을 사용하여 침해된 시스템에 대한 접근을 유지한다.
• 모듈형 설계: 초기 분석에 따르면 Dohdoor는 추가 페이로드 또는 플러그인을 지원할 가능성이 있어, 감염 후 기능 확장이 가능하다.

현재 Cisco Talos는 전체 기술적 지표(IoC) 또는 상세 포렌식 아티팩트를 공개하지 않았지만, 이 백도어의 정교함과 장기간 스파이 활동 가능성을 강조했다.

영향 분석

교육 및 의료 분야를 대상으로 한 이 캠페인은 고도로 민감한 데이터를 다루는 만큼 잠재적 영향에 대한 우려를 낳고 있다:

• 데이터 유출 위험: 위협 행위자가 개인 식별 정보(PII), 의료 기록, 지적 재산 등을 탈취할 경우, 규제 위반 및 평판 손상으로 이어질 수 있다.
• 운영 중단: 침해된 시스템이 랜섬웨어 배포 또는 네트워크 내 횡적 이동 등 추가 공격에 악용될 수 있다.
• 스파이 활동 우려: 신종 백도어의 사용은 장기적인 정보 수집을 목적으로 하며, 국가 지원 또는 금전적 동기를 가진 행위자의 소행일 가능성이 있다.

보안 팀을 위한 권고 사항

Dohdoor의 은밀한 특성과 DoH 의존성을 고려할 때, Cisco Talos는 다음과 같은 완화 조치를 권장한다:

1. DoH 트래픽 모니터링: 악성 도메인 또는 이상 패턴을 탐지할 수 있는 암호화된 DoH 트래픽 검사 도구를 배포한다.
2. 엔드포인트 탐지 및 대응(EDR): 비정상적인 프로세스 실행, 레지스트리 변경, 예약된 작업 수정 등을 탐지할 수 있는 EDR 솔루션을 구현한다.
3. DNS 보안: 네트워크 수준에서 DoH를 비활성화하거나 기업이 제어하는 DNS 리졸버 사용을 강제하여 무단 터널링을 제한한다.
4. 위협 인텔리전스 공유: UAT-10027과 관련된 신규 IoC 정보를 얻기 위해 업계 동료 및 위협 인텔리전스 제공업체와 협력한다.
5. 사고 대응 준비: Dohdoor와 같은 고급 위협에 대한 신속한 격리 및 제거를 보장하기 위해 사고 대응 계획을 검토하고 테스트한다.