지난 몇 달 동안 일자리 경제는 불확실성으로 점철되었습니다. 해고, 구조조정, 채용 동결, 그리고 공격적인 비용 절감 조치에 대한 소식이 끊이지 않았습니다. 이러한 분위기는 직원과 조직 모두에게 광범위한 불안감을 조성했고, 사이버 범죄자들은 이러한 감정을 악용하는 방법을 빠르게 터득했습니다.
악성코드 제작자는 해고 통지, 업데이트된 인사 정책, 퇴직 서류, 또는 "긴급 해고 명단"으로 위장한 피싱 이메일과 악성 첨부 파일을 점점 더 많이 제작하여 사람들의 두려움과 호기심을 이용하고 있습니다. 직원들은 스트레스 상황에서 진위 여부를 확인하지 않고 의심스러운 파일이나 링크를 클릭할 가능성이 더 높으며, 이는 공격자에게 기업 네트워크에 쉽게 침투할 수 있는 통로를 제공합니다. 해고가 계속해서 언론의 헤드라인을 장식하는 가운데, 위협 행위자들은 이러한 취약점을 대규모로 악용하여 믿을 만한 해고 관련 미끼를 사용하여 악성코드를 유포하고, 계정 정보를 훔치고, 더 광범위한 사이버 공격을 감행하고 있습니다.
Seqrite Labs에서 모니터링하는 동안 우리는 이메일을 통해 악성 소프트웨어를 배포하는 이러한 스팸 캠페인 중 하나를 관찰했습니다. 내부 HR 공지공격자는 "직원 기록 PDF"로 위장한 악성 첨부 파일을 유포했습니다. 첨부 파일의 파일은 NSIS에서 컴파일한 원격 접속 도구인 Remcos입니다.
초기 벡터
캠페인의 초기 벡터는 "2025년 10월 직원 성과 보고서"라는 내용으로, 회사 인사부에서 보낸 것으로 추정됩니다. 이 메시지는 의도적으로 간결하고 형식적이며, "해고될 직원”는 첨부 파일이 열릴 가능성을 높이기 위해 고안되었습니다.
위 이미지에서 볼 수 있듯이, PDF 문서가 포함된 것처럼 보이지만, 이메일 첨부 파일은 실제 내용을 숨기기 위해 이중 확장자(pdf.rar)를 사용한 RAR 아카이브 파일입니다. 아카이브 내부에는 문서가 아니라 "직원 기록 pdf"로 위장한 NSIS 컴파일 실행 파일이 있습니다. 실행 시, 해당 파일은 초기화, 구성 및 추가적인 악성 활동을 수행합니다.
깔끔하게 디자인된 이 스팸 이메일은 위협 행위자들이 어떻게 소셜 엔지니어링과 현재의 조직적 추세에 따른 미끼를 이용해 타깃 피해자에게 먼저 접근하는지를 잘 보여줍니다.
애착 분석
"직원 기록 pdf.rar"라는 이름의 이메일 첨부 파일은 PDF 파일처럼 보이도록 의도적으로 설계되었습니다. 보관 파일을 검사해 보니 "직원 기록 pdf.exe"라는 문구가 문서로 위장되어 있습니다. 이러한 이중 확장자 명명 규칙(pdf.exe)은 사용자를 오도하고 기본적인 파일 형식 식별을 회피하기 위해 흔히 사용되는 기법입니다.
내장 실행 파일 분석
첨부 파일에 포함된 실행 파일은 Remcos RAT이며 NSIS(Nullsoft Scriptable Install System)로 컴파일된 실행 파일입니다. 이는 위협 행위자가 의도를 숨기기 위해 일반적으로 남용하는 패키징 형식입니다.
파일이 실행되면 아래 위치에 NSIS 관련 구성 파일이 삭제됩니다.
- C:\Users\admin\AppData\Roaming\Microsoft\Windows\시작 메뉴\
그런 다음 파일이 아래 위치에 자동으로 복사됩니다.
- c:\ProgramData\Remcos\remcos.exe
Remcos는 아래 레지스트리에서 피해자 관련 데이터 및 기타 구성 데이터를 생성하고 저장합니다.
- HKCU\소프트웨어\Rmc-
구성 레지스트리의 키와 값 –
- exepath – 값은 암호화되고 설치된 EXE의 경로가 저장됩니다.
- 특허 – 아마도 Remcos 라이센스 키가 해킹된 것 같습니다.
- 시간 – Remcos가 처음 실행되었을 때의 UNIX 타임스탬프입니다.
- UID – 피해자 기기 ID.
고집
지속성은 일반적으로 알려진 실행 레지스트리에 자체를 추가하여 달성됩니다.
- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Rmc-4E12ZU = c:\ProgramData\Remcos\remcos.exe
배치 후 활동 및 CnC 커뮤니케이션
설정 후 Remcos 페이로드는 여러 스레드를 생성하며, 각 스레드는 RAT의 다양한 운영 구성 요소를 담당합니다. 이 스레드는 키로깅, 화면 캡처, 클립보드 모니터링, 주요 명령 처리 루프 등의 기능을 처리합니다.
몇 초 후, 맬웨어는 명령 및 제어 서버로 아웃바운드 연결을 설정하여 RAT가 완전히 활성화되어 공격자의 지시를 받을 준비가 되었음을 확인합니다.
맺음말
이 캠페인은 위협 행위자들이 어떻게 지속적으로 인력 관련 상황을 악용하여 설득력 있는 사회공학적 미끼를 통해 악성코드를 유포하는지 보여줍니다. 이 경우, 간단한 인사 관련 메시지만으로도 시스템에 NSIS 기반 Remcos가 침투하는 것을 위장하기에 충분했습니다.
Remcos는 설치되면 지속성을 확립하고, 시스템 정보를 수집하고, 감염된 호스트를 원격으로 액세스할 수 있도록 준비합니다.
조직에서는 직원들이 요청하지 않은 HR 또는 성과 관련 커뮤니케이션을 처리할 때 주의를 기울이도록 해야 하며, 악성 아카이브와 실행 가능한 페이로드를 감지할 수 있는 이메일 보안 제어를 강화해야 합니다.
침해 지표(IoC)
해시(MD5)
c95f2a7556902302f352c97b7eed4159
6f7d3f42fa6fe3b0399c42473f511acc
76c28350c8952aef08216d9493bae385
CNC
196.251.116.219
Seqrite/QH 감지
트로이 목마.Remcos.S38451216
MITRE 공격 전술, 기술 및 절차(TTP)
| 전술(ATT&CK ID) | 기술 / 하위 기술(ID) |
순서 |
| 초기 액세스(TA0001) | T1566.001 | 악의적인 HR 관련 이메일이 전달되었습니다. |
| 실행(TA0002) | T1204.002 | 사용자가 PDF로 위장된 이중 확장자 파일을 엽니다. |
| 방어회피(TA0005) | T1036 | 실행 파일은 RAR 아카이브 내에서 PDF로 위장합니다. |
| 방어회피(TA0005) | T1027 | 실제 코드를 숨기기 위해 NSIS 컴파일러를 사용합니다. |
| 지속성(TA0003) | T1547.001 | Remcos는 다음에 등록합니다. 자동 실행을 위해 HKCU\Software\Microsoft\Windows\CurrentVersion\Run을 실행하세요. |
| 지속성(TA0003) | T1112 | HKCU\Software\Rmc-에서 매장 구성 . |
| 디스커버리(TA0007) | T1082 | 실행 후 호스트 정보(UID, 타임스탬프, 경로)를 수집합니다. |
| 컬렉션(TA0009) | T1056.001 | 키로깅 모듈 |
| 컬렉션(TA0009) | T1113 | 스크린샷 캡처에 대한 스레드입니다. |
| 컬렉션(TA0009) | T1115 | 클립보드 모니터링 스레드가 초기화되었습니다. |
| 명령 및 제어(TA0011) | T1071.004 | 공격자가 제어하는 서버로의 아웃바운드 연결 |
작성자
프라실 문
루마나 시디키
