Seqrite Labs APT 팀은 파키스탄 연계 APT 그룹 Transparent Tribe(APT36)가 인도 정부 및 국방부 요원을 표적으로 삼아 "파할감 테러 공격"을 주제로 한 문서를 발견했습니다. 이 캠페인은 자격 증명 피싱과 악성 페이로드 배포를 모두 포함하고 있으며, 22년 2025월 XNUMX일 공격 직후 잠무 카슈미르 경찰과 인도 공군(IAF)을 사칭하는 가짜 도메인이 생성되었습니다. 이 주의보는 유사한 활동을 적발하는 데 사용된 피싱 PDF 및 도메인과 해당 그룹의 악명 높은 Crimson RAT(크림슨 랫) 배포에 사용된 매크로가 포함된 문서에 대한 경고를 담고 있습니다.
분석
문제의 PDF는 24년 2025월 XNUMX일에 작성되었으며 작성자는 "Kalu Badshah"로 기재되어 있습니다. 이 피싱 문서의 이름은 해당 공격에 대한 인도 정부의 대응 조치와 관련이 있습니다.
- “파할감 테러 공격에 대한 정부의 대응 방안 및 조치 .pdf”
- “파할감 테러 공격 관련 보고서 업데이트.pdf”
문서 내용은 가려져 있으며, 문서에 포함된 링크가 공격의 주요 경로가 됩니다. 클릭하면 가짜 로그인 페이지로 이동하는데, 이는 개인을 유인하기 위한 소셜 엔지니어링 공격의 일환입니다. 트리거되는 내장 URL은 다음과 같습니다.
- hxxps://jkpolice[.]gov[.]in[.]kashmirattack[.]exposed/service/home/
이 도메인은 합법적인 Jammu & Kasmir 경찰을 모방합니다.jkpolice[.]gov[.]in), 공식 인도 경찰 웹사이트이지만 가짜 웹사이트는 하위 도메인을 도입합니다. 카슈미르 공격[.] 노출.
"kashmirattack"이라는 단어가 추가된 것은 민감한 지정학적 문제, 즉 최근 카슈미르 지역에서 발생한 공격과 관련된 주제적 연관성을 시사합니다. @gov.in 또는 @nic.in에 대한 정부 인증 정보를 입력하면 해당 정보가 호스트로 바로 전송됩니다. 작성자 이름을 중심으로 분석한 결과, 이러한 피싱 문서가 여러 건 발견되었습니다.
정부와 국방부 회의와 관련된 각 피싱 문서에서 여러 이름이 발견되어 대상을 유인하는 것으로 나타났으며, 이는 이 그룹이 국가에서 진행 중인 이벤트를 중심으로 얼마나 빠르게 유인물을 만드는지를 보여줍니다.
- 파할감 테러 공격 관련 보고 및 업데이트.pdf
- 파할감 테러 공격 관련 보고서 업데이트.pdf
- 파할감 테러 공격 관련 정부의 대응 방안 및 조치.pdf
- 17년 2025월 XNUMX일자 J&K 경찰 서한.pdf
- 10년 2025월 XNUMX일 DRDO 장관이 개최한 검토 회의에 대한 ROD.pdf
- 토론 기술 검토 회의 공지 기록, 07년 2025월 1일(XNUMX).pdf
- 회의 공지 – 인도와 네팔 간 제13차 JWG 회의.pdf
- 04년 2025월 XNUMX일 국방부 IHQ에서 열리는 합작 투자 회의 안건.pdf
- 국방부 통합 사령부에 대한 DO 편지(3월 XNUMX일자).pdf
- 대학 회의 공지 및 조치 사항 MoD 24월 XNUMX일.pdf
- 26년 2025월 XNUMX일자 락샤 만트리 사무실에 보낸 편지.pdf
- 고위 군 장교에 의한 성희롱 혐의 사건.pdf
- 11월 25일 개최된 국방부 회의 안건.html
- 10월 25일 개최된 국방부 회의의 행동 요령.html
- 10월 25일 대외협력부 회의 안건 XNUMX.pdf.html
파워포인트 PPAM 드로퍼
피싱 문서와 동일한 이름을 가진 PowerPoint 추가 기능 파일 “파할감 테러 공격 관련 보고 및 업데이트.ppam” 악성 매크로가 포함된 것으로 확인되었습니다. 이 악성코드는 내장된 두 파일을 사용자 프로필의 숨겨진 디렉터리에 동적 이름으로 추출하고, Windows 버전을 기반으로 페이로드를 확인한 후, 동일한 피싱 URL이 내장된 디코이 파일을 열고 Crimson RAT 페이로드를 실행합니다.
마지막으로 삭제된 Crimson RAT는 내부 이름이 "jnmxrvt hcsm.exe"이고 유사한 PDB 규칙에 따라 "WEISTT.jpg"로 삭제되었습니다.
- C:\jnmhxrv cstm\jnmhxrv cstm\obj\Debug\jnmhxrv cstm.pdb
세 개의 RAT 페이로드 모두 파할감 테러 공격 직전인 2025년 04월 21일의 컴파일 타임스탬프를 가지고 있습니다. 평소처럼 하드코딩된 기본 IP가 미끼로 사용되었으며, 디코딩 후 실제 C2 주소는 93.127.133[.]58입니다. 시스템 및 사용자 정보 검색 외에도 다음 22개의 명령 및 제어 명령을 지원합니다.
| 명령 | 기능 |
| procl / getavs | 모든 프로세스 목록을 가져옵니다 |
| 엔드포 | PID 기반 프로세스 종료 |
| 스크르즈 | 캡처할 화면 크기를 설정하세요 |
| 씨스크린 | 스크린샷 가져오기 |
| dirs | 모든 디스크 드라이브를 가져옵니다 |
| 중지 | 화면 캡처 중지 |
| 필스 | 파일 정보 가져오기(이름, 생성 시간, 크기) |
| 다우프 | C2에서 파일을 다운로드하세요 |
| cnls | 업로드, 다운로드 및 화면 캡처를 중지하세요 |
| 화면 | 지속적으로 스크린샷을 얻으세요 |
| 무지 | 200×150 크기의 GIF로 이미지 썸네일을 받으세요. |
| 퍼스트르트 | 레지스트리 키 실행을 통해 지속성 설정 |
| udlt | C2에서 ''로 파일을 다운로드하고 실행하세요.브다헤어튼' 이름 |
| 델타 | 파일 삭제 |
| 파일 | C2로 파일을 추출합니다. |
| 정보 | 기계 정보(컴퓨터 이름, 사용자 이름, IP, OS 이름 등)를 가져옵니다. |
| 런프 | 명령 실행 |
| 파일 | 추가 정보와 함께 C2로 파일을 추출합니다. |
| 리스트f | 확장자를 기준으로 파일 검색 |
| 지참금 | C2에서 파일 다운로드(실행 안됨) |
| 플레 | 디렉토리에 있는 파일 목록을 가져옵니다 |
| fldr | 디렉토리의 폴더 목록 가져오기 |
인프라 및 귀속
헌팅을 통해 발견된 피싱 도메인은 문서가 생성된 후 불과 1~2일 후에 생성된 것으로 나타났습니다.
| 도메인 | 창조 | IP | ASN |
| jkpolice[.]gov[.]in[.]kashmir 공격[.]노출 | 2025-04-24 | 37.221.64.134 78.40.143.189 |
AS 200019(알렉스호스트 Srl) AS 45839 (신지루테크놀로지) |
| iaf[.]nic[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 37.221.64.134 | AS 200019(알렉스호스트 Srl) |
| 이메일[.]gov[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 45.141.58.224 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]departmentofdefenceindia[.]링크 | 2025-02-18 | 45.141.59.167 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]departmentofdefence[.]de | 2025-04-10 | 45.141.58.224 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]briefcases[.]이메일 | 2025-04-06 | 45.141.58.224 78.40.143.98 |
AS 213373(IP Connect Inc) AS 45839 (신지루테크놀로지) |
| 이메일[.]gov[.]in[.]modindia[.]링크 | 2025-03-02 | 84.54.51.12 | AS 200019(알렉스호스트 Srl) |
| 이메일[.]gov[.]in[.]defenceindia[.]ltd | 2025-03-20 | 45.141.58.224 45.141.58.33 |
AS 213373(IP Connect Inc) |
| 이메일[.]정부[.]인[.]인도국방부[.]링크 | 2025-02-25 | 45.141.59.167 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]departmentofspace[.]info | 2025-04-20 | 45.141.58.224 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]indiangov[.]다운로드 | 2025-04-06 | 45.141.58.33 78.40.143.98 |
AS 213373(IP Connect Inc) AS 45839 (신지루테크놀로지) |
| 인디언아미[.]닉[.]인[.]국방부[.]데 | 2025-04-10 | 176.65.143.215 | AS 215208 |
| indianarmy[.]nic[.]in[.]ministryofdefenceindia[.]org | 2025-04-16 | 176.65.143.215 | AS 215208 |
| 이메일[.]gov[.]in[.]indiandefence[.]work | 2025-03-10 | 45.141.59.72 | AS 213373(IP Connect Inc) |
| 이메일[.]gov[.]in[.]indiangov[.]다운로드 | 2025-04-06 | 78.40.143.98 | AS 45839 (신지루테크놀로지) |
| 이메일[.]gov[.]in[.]drdosurvey[.]info | 2025-03-19 | 192.64.118.76 | AS 22612(NAMECHEAP-NET) |
이러한 유형의 공격은 민감하거나 감정적으로 민감한 문제를 악용하여 혼란을 조성하거나 정치적 메시지를 확산하는 것을 목표로 하는 핵티비즘에서 흔히 볼 수 있습니다. 이 경우, 위협 행위자는 카슈미르를 둘러싼 기존의 긴장 상태를 악용하여 캠페인의 효과를 극대화하고 관련 정보를 추출합니다.
의심스러운 도메인은 이전에 사용된 전술과 일치하는 피싱 및 허위 정보 인프라의 일부입니다. APT36(투명 부족) 오랜 역사를 가진 대상을 타겟팅합니다.
- 인도 군인들
- 정부 기관
- 국방 및 연구 기관
- 카슈미르에 초점을 맞춘 활동가와 언론인
초기 접근용 PPAM(PPAM for Initial Access)은 악성 실행 파일을 OLE 객체로 임베드하는 데 수년간 사용되어 왔습니다. 인도 정부나 군사 시설을 모방하는 사기성 URL을 생성하는 도메인 사칭은 작년부터 꾸준히 발견되었습니다. 이들은 카슈미르 분쟁, 국경 분쟁, 군사 작전과 같은 민감한 주제를 악용하여 스피어 피싱 캠페인을 위한 미끼를 만드는 경우가 많습니다. 따라서 이러한 캠페인은 위조 문서나 스푸핑된 도메인에 포함된 악성 링크 뒤에 숨겨진 Crimson RAT을 유포하는 APT36의 소행으로 추정되며, 높은 확률로 Crimson RAT을 유포하는 것으로 보입니다.
잠재적 영향: 지정학적 및 사이버 보안 영향
지정학적 주제와 사이버 보안 전술이 결합된 이 문서는 더 광범위한 허위 정보 유포 활동의 일환임을 시사합니다. 오랜 정치적, 영토 분쟁 지역인 카슈미르를 언급한 것은 공격자가 민감한 주제를 악용하여 불안을 조장하거나 분열을 조장하려는 의도를 시사합니다.
또한, PDF 파일을 악성 링크의 전달 수단으로 사용하는 것은 대중의 인식에 영향을 미치거나, 선전을 유포하거나, 혼란을 야기하는 것을 목표로 하는 검증된 수법입니다. 그 영향은 다음과 같습니다.
- 민감한 작업 중단: 공무원이나 정부 직원이 이 문서와 상호 작용할 경우 개인적 또는 조직적 보안이 위협받을 수 있습니다.
- 정보 운영: 해당 문서는 민감한 문서의 노출이나 허위 정보의 유포로 이어질 수 있으며, 이로 인해 대중 사이에 혼란과 불신이 조성될 수 있습니다.
- 간첩 및 데이터 침해: 피싱 시도는 궁극적으로 민감한 데이터의 도난이나 대상 네트워크 내 맬웨어 배포로 이어져 추가적인 악용의 길을 열 수 있습니다.
추천
이메일 및 문서 검사: 고급 위협 보호 기능을 구현하여 PDF 및 첨부 파일에 내장된 악성 링크나 페이로드를 검사합니다.
매크로 실행 제한: 모든 엔드포인트에서, 특히 신뢰할 수 없는 출처의 매크로를 기본적으로 비활성화합니다.
네트워크 분할 및 액세스 제어: 중요한 시스템 및 데이터에 대한 액세스를 제한하고 최소 권한의 원칙을 적용합니다.
사용자 인식 및 교육: 피싱, 허위 정보, 지정학적 조작 전술을 인식하기 위한 정기적인 교육을 실시합니다.
사고 대응 준비: 피싱, 허위 정보 또는 의심되는 국가 차원의 활동에 대비하여 검증된 대응 계획이 마련되어 있는지 확인하세요.
위협 인텔리전스 통합: 지정학적 위협 인텔리전스를 활용하여 타깃이 있는 캠페인을 식별하고 침해 지표(IOC)를 사전에 차단합니다.
비정상적인 행동 모니터링: 행동 분석을 사용하여 비정상적인 액세스 패턴이나 데이터 유출 시도를 감지합니다.
IOC
피싱 문서
c4fb60217e3d43eac92074c45228506a
172fff2634545cf59d59c179d139e0aa
7b08580a4f6995f645a5bf8addbefa68
1b71434e049fb8765d528ecabd722072
c4f591cad9d158e2fbb0ed6425ce3804
5f03629508f46e822cf08d7864f585d3
f5cd5f616a482645bbf8f4c51ee38958
fa2c39adbb0ca7aeab5bc5cd1ffb2f08
00cd306f7cdcfe187c561dd42ab40f33
ca27970308b2fdeaa3a8e8e53c86cd3e
피싱 도메인
jkpolice[.]gov[.]in[.]kashmir 공격[.]노출
iaf[.]nic[.]in[.]ministryofdefenceindia[.]org
이메일[.]gov[.]in[.]ministryofdefenceindia[.]org
이메일[.]gov[.]in[.]departmentofdefenceindia[.]링크
이메일[.]gov[.]in[.]departmentofdefence[.]de
이메일[.]gov[.]in[.]briefcases[.]이메일
이메일[.]gov[.]in[.]modindia[.]링크
이메일[.]gov[.]in[.]defenceindia[.]ltd
이메일[.]정부[.]인[.]인도국방부[.]링크
이메일[.]gov[.]in[.]departmentofspace[.]info
이메일[.]gov[.]in[.]indiangov[.]다운로드
인디언아미[.]닉[.]인[.]국방부[.]데
indianarmy[.]nic[.]in[.]ministryofdefenceindia[.]org
이메일[.]gov[.]in[.]indiandefence[.]work
이메일[.]gov[.]in[.]indiangov[.]다운로드
이메일[.]gov[.]in[.]drdosurvey[.]info
피싱 URL
hxxps://iaf[.]nic[.]in[.]ministryofdefenceindia[.]org/publications/default[.]htm
hxxps://jkpolice[.]gov[.]in[.]kashmiraxxack[.]노출/서비스/홈
hxxps://email[.]gov[.]in[.]ministryofdefenceindia[.]org/service/home/
hxxps://email[.]gov[.]in[.]departmentofdefenceindia[.]link/service/home/
hxxps://email[.]gov[.]in[.]departmentofdefence[.]de/service/home/
hxxps://email[.]gov[.]in[.]indiangov[.]download/service/home/
hxxps://indianarmy[.]nic[.]in[.]departmentofdefence[.]de/publications/publications-site-main/index[.]html
hxxps://indianarmy[.]nic[.]in[.]ministryofdefenceindia[.]org/publications/publications-site-main/index[.]htm
hxxps://email[.]gov[.]in[.]briefcases[.]email/service/home/
hxxps://email[.]gov[.]in[.]modindia[.]link/service/home/
hxxps://email[.]gov[.]in[.]defenceindia[.]ltd/서비스/홈/
hxxps://email[.]gov[.]in[.]indiadefencedepartment[.]link/service/home/
hxxps://email[.]gov[.]in[.]departmentofspace[.]info/service/home/
hxxps://email[.]gov[.]in[.]indiandefence[.]work/service/home/
PPAM/XLAM
d946e3e94fec670f9e47aca186ecaabe
e18c4172329c32d8394ba0658d5212c2
2fde001f4c17c8613480091fa48b55a0
c1f4c9f969f955dec2465317b526b600
크림슨 랫
026e8e7acb2f2a156f8afff64fd54066
fb64c22d37c502bde55b19688d40c803
70b8040730c62e4a52a904251fa74029
3efec6ffcbfe79f71f5410eb46f1c19e
b03211f6feccd3a62273368b52f6079d
93.127.133.58(포트 - 1097, 17241, 19821, 21817, 23221, 27425)
104.129.27.14(포트 – 8108, 16197, 19867, 28784, 30123)
MITER ATT & CK
| 정찰 | T1598.003 | 정보 피싱: 스피어피싱 링크 |
| 자원 개발 | T1583.001 | 인프라 획득: 도메인 |
| 초기 액세스 | T1566.001 | 피싱: 스피어피싱 첨부 파일 |
| 실행 | T1204.001
T1059.005 |
사용자 실행: 악성 링크
명령 및 스크립팅 인터프리터: Visual Basic |
| 고집 | T1547.001 | 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 |
| 발견 | T1033
T1057 T1082 T1083 |
시스템 소유자/사용자 검색
프로세스 발견 시스템 정보 검색 파일 및 디렉토리 검색 |
| 수집 | T1005
T1113 |
로컬 시스템의 데이터
화면 캡처 |
| 여과 | T1041 | C2 채널을 통한 유출 |
저자 :
사트윅 람 프라키
리샤브 칸질랄
