Operation Poisoned Relay
외부에 노출된 JBoss AS 6 서버를 거점으로 삼은 뒤, 내부망이 신뢰하는 업데이트 릴레이 구조를 오염시켜 격리된 Active Directory DC를 무단 장악하는 공급망 침해 시나리오입니다.
Overview
Spacebar는 보안 정책상 내부 DC(VM2)의 인터넷 직접 연결을 차단하고, 외부망 JBoss AS 6 서버(VM1)를 통해 패치를 릴레이하는 구조를 운용하고 있습니다. JBoss AS 6의 인증 없는 원격 코드 실행 취약점으로, 공개 노출된 VM1은 jexboss를 통한 웹쉘 업로드에 취약합니다. VM2는 VM1을 신뢰하여 5분마다 patch.exe를 자동 실행하는 구조이므로, 공격자가 uploads/ 폴더의 파일을 교체하는 것만으로 인터넷과 완전히 격리된 DC까지 SYSTEM 권한 실행을 달성할 수 있습니다.
uploads/patch.exe를 리버스 쉘 탑재 악성 PE로 교체. 정상 파일명·아이콘 유지.
T1505.003
T1036.005
T1059.004
Groups
| ID | Name | Description |
|---|---|---|
| G-SB-002 | PoisonedRelay | Operation Poisoned Relay 활동과 연결된 가상 공격 그룹이다. 외부 JBoss 서버 침해 이후 내부망이 신뢰하는 업데이트 릴레이 구조를 오염시키는 방식을 사용한다. |
Techniques Used
| Phase | ID | Name | Use |
|---|---|---|---|
| Initial Access | T1190 | Exploit Public-Facing Application | JBoss AS 6 역직렬화 취약점으로 외부에서 원격 코드 실행. jexboss 활용. |
| Initial Access | T1505.003 | Web Shell | 익스플로잇 성공 후 JSP 웹쉘을 JBoss 배포 경로에 업로드. 지속 명령 실행 채널 확보. |
| Supply Chain ★ | T1195.002 | Supply Chain Compromise | 내부망이 신뢰하는 업데이트 공유 폴더의 patch.exe를 리버스 쉘 내장 악성 파일로 무음 교체. |
| Supply Chain ★ | T1036.005 | Masquerading | 동일한 파일명·아이콘·버전 정보 사용. 사용자 및 자동화 스크립트 의심 최소화. |
| Lateral Movement | T1053.005 | Scheduled Task / Job | VM2 Windows 작업 스케줄러가 5분 주기로 VM1에서 patch.exe 다운로드 후 SYSTEM 권한 실행. |
| Credential Access | T1003.001 | OS Credential Dumping: LSASS | DC 장악 후 Mimikatz로 LSASS 메모리 덤프. 도메인 전체 계정 해시·티켓 수집. |
| Lateral Movement | T1059.004 | Unix Shell | 웹쉘 경유 VM1 bash 명령 실행 — 내부망 구조 탐색, 파일 교체, 리버스 쉘 준비. |
| C2 | T1071.001 | Application Layer Protocol: Web | 악성 patch.exe의 리버스 쉘이 HTTP를 통해 공격자 Kali로 아웃바운드 C2 연결. |
Software
| ID | Name | Description | Role |
|---|---|---|---|
| SW-OPR001 | jexboss | JBoss AS 취약점 자동 탐지 및 익스플로잇 오픈소스 도구. | Initial access — JBoss exploit |
| SW-OPR002 | JSP WebShell | jexboss가 JBoss deploy 경로에 설치하는 JSP 기반 웹쉘. 파일 관리 및 명령 실행 기능. | Persistent control channel on VM1 |
| SW-OPR003 | Malicious patch.exe | 정상 업데이트 파일로 위장한 Windows PE. 실행 시 공격자 Kali로 리버스 쉘 연결. | Supply chain payload — lateral movement |
| SW-OPR004 | Mimikatz | Windows LSASS 메모리에서 자격증명을 추출하는 공개 도구. | Credential dumping on DC |
| SW-OPR005 | ELK Stack (VM3) | Elasticsearch / Logstash / Kibana 기반 로그 수집·분석·시각화 플랫폼. | SIEM — detection & investigation |
Observed Infrastructure
VM1은 외부망과 내부망 양쪽에 연결된 릴레이 허브로, 공격자는 이 구조를 악용해 인터넷과 완전히 차단된 VM2(DC)까지 파일을 통해 도달합니다. VM2는 VM1만 신뢰하며 스스로 파일을 가져오는 구조이므로, VM1 침해 = DC 침해 경로 확보를 의미합니다.
← VM2가 VM1을 신뢰하여 스스로 파일을 가져오는 역방향 신뢰 구조가 핵심 취약점
VM1 — EXT-WEB-JBOSS01 (릴레이 허브)
| OS | Ubuntu 18.04.6 LTS |
|---|---|
| 서버 | JBoss AS 6 |
| External IP | 192.168.241.10 |
| Internal IP | 192.168.141.10 |
| 공격 진입 | jexboss → JSP WebShell → patch.exe 교체 |
VM2 — INT-DC-01 (격리된 DC)
| OS | Windows Server 2012 R2 |
|---|---|
| 역할 | Active Directory Domain Controller |
| Internal IP | 192.168.141.20 |
| 인터넷 | 완전 차단 (VM1 게이트웨이 경유) |
| 자동화 | 5분 간격 스케줄러 → patch.exe 다운로드·실행 |
References
본 캠페인은 독립 시나리오이며, 아래 출처를 모델링 참고자료로 활용하였습니다. Operation Poisoned Relay의 TTP 구성과 피해자 환경 설계는 자체적으로 작성되었습니다.
- MITRE ATT&CK Campaign C0014 — Operation Wocao — 모델링 출처 원본 캠페인 페이지.
- MITRE ATT&CK T1195.002 — Supply Chain Compromise: Software Supply Chain.
- MITRE ATT&CK T1190 — Exploit Public-Facing Application.
- MITRE ATT&CK T1053.005 — Scheduled Task / Job.
- MITRE ATT&CK T1003.001 — OS Credential Dumping: LSASS Memory.
- jexboss (GitHub) — JBoss AS 취약점 검증 도구.
- Fox-IT (2019) — 201912_report_operation_wocao.pdf — 원본 캠페인 보고서.