개요
지난 몇 달 동안, 특히 소득세 신고 기간 중과 이후에 세금 관련 피싱 및 악성코드 공격이 급증했습니다. 환급 시기에 대한 공개적인 논의가 계속되면서 이러한 사기 행위는 더욱 신빙성을 얻게 되었고, 공격자들은 이를 틈타 설득력 있는 미끼를 만들어냈습니다.
최근 인도 국세청(ITD)을 사칭한 이메일을 분석했습니다. 언뜻 보기에는 공식적인 "세금 준수 검토 통지"처럼 보였지만, 자세히 조사한 결과 인도 기업을 대상으로 하는 광범위한 피싱 캠페인의 일부였으며, 지속적인 원격 접속 트로이목마(RAT) 또는 정보 탈취 악성코드를 배포하도록 설계된 다단계 감염 체계를 가지고 있는 것으로 드러났습니다.
이 블로그에서는 이메일 내용, 감염 경로, 공격자 전술, 그리고 이러한 미끼들이 오늘날 진화하는 위협 환경에 어떻게 적용되는지에 대한 자세한 분석을 제공합니다.
초기 벡터
이 공격 캠페인의 초기 공격 경로는 소득세청의 공식 서신으로 위장한 스피어 피싱 이메일입니다.
발신자 이메일 주소를 자세히 살펴보면 Outlook.com 도메인에서 발송된 것으로 나타나는데, 이는 정부 기관이 공식적인 통신에 공용 웹메일 서비스를 사용하지 않는 것이 일반적이라는 점에서 이례적입니다. 이러한 점이 의심을 불러일으켰습니다. 또한, "세금 준수 검토 통지"라는 제목은 최근 소득세 신고(ITR) 관련 피싱 공격에서 흔히 사용되는 수법으로, 공격자는 수신자가 세금 신고 의무를 이행하지 않았거나 신고 내용이 검토 중이라고 믿도록 유도합니다.
이 이메일이 특히 주목할 만한 이유는 본문에 텍스트가 전혀 없다는 점입니다. 대신, 실제 ITD 공지처럼 보이도록 제작된 이미지 하나만 포함되어 있습니다.
이 전략은 텍스트 기반 스팸 필터와 이메일 본문의 키워드 감지를 우회하는 데 도움이 됩니다. 이미지에는 다음 내용이 포함됩니다.
- 인도 정부 문장
- "재무부 - 소득세국헤더
- 가짜 직위 추천서 (소득세 조사 담당 부차장)
- 제작된 참조 번호, DIN 규격 및 날짜
- 그리고 엄격한 준수 기한
해당 이메일에는 "Review Annexure.pdf"라는 첨부 파일이 포함되어 있었는데, 이는 피싱 또는 악성코드 유포 과정의 다음 단계로 추정됩니다. 이 첨부 파일은 정식 소득세청 공지문을 매우 유사하게 모방하여, 특히 기술적 지식이 부족한 수신자를 대상으로 하는 사회공학적 공격에 효과적입니다.
감염 사슬
아래 다이어그램은 이 캠페인에 사용된 전체 감염 과정을 보여줍니다. 소득세 관련 피싱 이메일로 시작하여 PDF 파일, 가짜 규정 준수 포털, 그리고 강제 ZIP 파일 다운로드 순으로 진행됩니다. 2단계로 구성된 NSIS 설치 프로그램은 여러 파일의 압축을 풀고, Windows 서비스를 통해 시스템 지속성을 확보한 후, 여러 C2 서버에 연결하기 전에 시스템 정보를 수집하기 시작합니다. 이 그림은 겉보기에는 무해해 보이는 규정 준수 안내가 어떻게 궁극적으로 의심스러운 원격 접근 권한으로 이어지는지를 보여줍니다.
첨부자료 분석 (Review Annexure.pdf)
첨부된 PDF 파일을 열어보니 단순한 세금 고지서보다 훨씬 더 흥미로운 내용이 담겨 있었습니다. 합법적인 세무 준수 관련 세부 정보는 전혀 제공하지 않고, "부록 A"라는 제목의 후속 지침이 포함되어 있었는데, 이는 앞서 보낸 이메일의 긴급성을 강조하려는 의도였습니다.
공격자들은 2025년 10월 3일에 검토 통지서가 발송되었고 해당 조직이 "이를 준수하지 않았다"는 내용의 이야기를 꾸며냈습니다. 이는 전형적인 사회공학적 압박 전술로, 이전에 규정을 준수하지 않았다는 인상을 심어 긴급성을 높이고 수신자가 즉시 조치를 취할 가능성을 높이는 것입니다.
첨부된 PDF 파일에는 사용자가 가짜 계정에 로그인하도록 안내하는 단계별 지침이 포함되어 있습니다.규정 준수 포털이 단계들 속에 악성 URL(hxxps://www.akjys.top/)이 숨겨져 있었습니다.
가짜 ITD 규정 준수 포털 및 악성코드 자동 다운로드 트리거
PDF에 포함된 URL을 클릭하면hxxps://www.akjys.top/이 공격은 피해자를 가짜 소득세청 준수 포털로 유도합니다. 실제 로그인 페이지를 표시하는 대신, 해당 사이트는 즉시 "라는 이름의 파일을 다운로드합니다."Annexure.zip 파일을 검토하세요.".
이러한 강제 다운로드 방식은 요즘 악성코드 유포 과정에서 흔히 사용되는 기법으로, 공격자가 피해자가 사이트에 접속하는 즉시 페이로드를 전달할 수 있도록 합니다. 최근 이러한 기법이 사용된 사례를 여러 건 목격했습니다. .SVG 파일 기반 악성코드 유포 캠페인 콜롬비아 사용자들을 대상으로 AsyncRAT 멀웨어를 사용하는 것도 포함됩니다.
이 페이지가 특히 의심스러운 이유는 화면 중앙에 표시된 메시지 때문입니다.
일부 컴퓨터 RDR 프로그램은 이 클라이언트와 호환되지 않을 수 있습니다…
보안 소프트웨어로 인한 오탐을 방지하려면 클라이언트를 사용하기 전에 바이러스 백신 프로그램을 미리 비활성화하십시오.
정부 포털, 특히 세금 신고나 조사와 관련된 포털은 절대 사용자에게 백신 프로그램을 비활성화하라고 지시하지 않습니다. 공격자들은 자신들의 악성코드가 일반적인 엔드포인트 보안 도구에 탐지될 수 있다는 것을 알고 있을 때 이러한 수법을 사용합니다. "호환성 문제"라는 명목으로 피해자의 경계를 허물고 공격 성공률을 높이려는 것입니다.
공격자들은 심지어 오해를 불러일으키는 안심시키는 말까지 덧붙였습니다.
"소득세청 클라이언트를 사용하신 후에는 바이러스 백신 프로그램을 다시 활성화해 주시기 바랍니다."
이 추가 지시는 요청이 일상적인 것처럼 보이게 하려는 전형적인 사회공학적 수법입니다. 실제로 알 수 없는 소프트웨어를 실행하기 전에 보안 제어를 비활성화하는 것은 랜섬웨어를 포함한 악성코드 계열에서 성공적인 침투를 위해 흔히 악용하는 수법입니다.
다운로드됨Annexure.zip 파일을 검토하세요.압축을 풀면 "라는 이름의 실행 파일이 들어 있습니다.setup_Ir5swQ3EpeuBpePEpew=.exe이 파일은 약 150MB 크기입니다. 이 파일에 대한 분석은 다음 섹션에서 설명합니다.
1단계: 다운로드한 파일 분석 (setup_Ir5swQ3EpeuBpePEpew=.exe)
이 설정 파일은 NSIS로 컴파일되었으며 衡水深帷科技有限公司[에 의해 디지털 서명되었습니다.Hengshui Shenwei Technology Co., Ltd.서명 정보를 추가하는 것은 위협 행위자가 탐지를 회피하고 사용자가 이 파일을 합법적인 설치 프로그램으로 인식하도록 속이기 위해 흔히 사용하는 기술입니다.
이 파일을 압축 해제해 보니 그 안에 여러 파일이 묶여 있는 것을 발견했습니다.
이 NSIS 설치 프로그램은 사용자에게 설치 인터페이스를 표시하지 않고 모든 파일을 임시 디렉터리에 압축 해제하는 무인 로더로 실행됩니다.
이 과정에서 서명된 래퍼와 내부 실행 파일을 포함한 여러 지원 구성 요소가 삭제됩니다.
지원 바이너리 및 데이터 파일을 삭제하고 "를 실행합니다.시부이아.exe" 파싱된 인수와 함께-
Sibuia.exe는 또 다른 "를 생성합니다.setup_Ir5swQ3EpeuBpePEpew=.exe"임시 \0\ 디렉터리에서 자식 프로세스로 실행되어, 사실상 다른 서명된 설치 프로그램 페이로드, 즉 "로 실행을 넘깁니다.setup_Ir5swQ3EpeuBpePEpew=.exe".
실행이 완료되면 스크립트는 즉시 자체 정리 작업을 시작하여 드롭된 파일과 폴더를 삭제함으로써 디스크상의 증거를 줄입니다.
따라서 가짜 소득세 신고 포털에서 다운로드한 설치 파일은 다음 단계만 실행하고 실제 페이로드 설치 프로그램을 전달한 다음 자체 흔적을 지웁니다.
2단계: 다음 단계 분석(setup_Ir5swQ3EpeuBpePEpew=.exe)
다음 단계 설치 파일 역시 파일 이름이 "setup_Ir5swQ3EpeuBpePEpew=.exe"이지만, 1단계 파일과는 다릅니다. 이 파일 역시 약 147MB의 더 큰 크기를 가지고 있으며, 유효한 디지털 서명이 있습니다.산둥 안자이 정보 기술 유한 회사".
이 설치 프로그램은 "고객센터 설치 패키지 3.7.85.1000"이라는 이름의 중국어 GUI 기반 패키지이며, 실행하면 아래와 같은 설치 GUI가 표시됩니다.
해당 패키지는 "에 방대한 양의 바이너리, DLL, 드라이버, 도구 등을 추출합니다."C:\Program Files\Common Files\NSEC이 설치 디렉터리 내의 모든 파일과 폴더는 매우 숨겨져 있으며 시스템 속성으로 보호됩니다.
이 프로그램은 커널 드라이버, Outlook 추가 기능, 원격 데스크톱 구성 요소, curl.exe, certutil.exe 및 여러 Sysinternals 유틸리티를 배포합니다.
이러한 바이너리 파일들을 종합하면 일반적인 생산성 애플리케이션이 아닌 원격 액세스 또는 엔드포인트 제어를 가능하게 하는 완전한 모니터링 및 제어 패키지가 됩니다.
고집
두 번째 설치 프로그램은 Windows 서비스를 사용하여 지속성을 확보합니다. 구성 항목은 파일에서 찾을 수 있습니다. buildin.cfg 할당하다 NSeRTS.exe 32비트 및 64비트 시스템 모두에서 활성 프로세스로 실행됩니다. 그런 다음 실행 파일은 "와 관련된 서비스에 등록됩니다."윈도우 실시간 보호 서비스".
따라서 파일에 있는 설정은 단순히 구성 요소 목록을 나열하는 것이 아니라 시스템에 실행 방법을 지시하는 것입니다. NSeRTS.exe 기본적으로 백그라운드에서 실행되므로 지속적인 서비스입니다.
지속성이 확보되면, NSeRTS.exe 서비스는 자동으로 시작되어 즉시 원격 관리를 위한 호스트 준비를 시작합니다. 이를 위해 서비스는 "라는 이름의 디렉터리를 생성합니다.Data설치 디렉토리 내부에 있는 "
- C:\Program Files (x86)\Common Files\NSEC\Data
해당 디렉터리는 악성 프로그램이 피해자 컴퓨터에서 수집한 운영 체제 버전, 설치된 애플리케이션, 실행 중인 서비스, 하드웨어 정보 등의 세부 정보를 저장하는 저장소 역할을 합니다.
".\데이터" 디렉토리는 원격 관리 또는 감시 도구에서 일반적으로 볼 수 있는 구조화된 형식을 따릅니다.
사용자가 접속한 애플리케이션과 관련된 수집 데이터의 예시 중 하나는 아래와 같은 형식입니다.
데이터를 수집한 후, TA는 C2 서버에 연결을 시도합니다. C2 서버 연결이 설정되면 TA는 UID를 사용하여 피해 기기를 C2 패널에 등록합니다. 이 UID는 피해 기기를 고유하게 식별하고 추적하는 데 사용됩니다.
연결이 성공적으로 이루어지면 TA는 수집된 데이터를 "Post" 요청에 업로드하고, 추가적으로 피해자 컴퓨터에서 다른 파일을 실행하거나 배포하는 명령을 수신합니다. 이러한 C2/네트워크 통신은 암호화 키를 공유하여 암호화된 연결을 유지함으로써 안전하게 보호됩니다.
NSECRTS.exe는 48991, 48992, 3898 등과 같은 여러 비표준 포트를 사용하여 C2 서버(154[.]91[.]84[.]3)에 연결을 설정합니다.
또한, 45[.]113[.]192[.]102:80 및 103[.]235[.]46[.]102:80과 같은 다른 IP 주소 몇 개와도 네트워크 연결을 설정하려고 시도합니다. 이는 대체 C2입니다.
조사 결과, 이러한 IP 주소들은 악성 파일을 포함한 여러 다른 파일들과도 통신에 사용되는 것으로 나타났습니다.
종합적으로 볼 때, 설치 프로그램 분석 과정에서 관찰된 여러 기술적 지표들은 해당 도구가 전 세계적으로 공급되는 제품이 아니라 중국과 연관된 개발 환경에서 제작되었음을 시사합니다. 설치 프로그램 생태계, 광범위한 중국어 간체 사용, 그리고 중국에 등록된 코드 서명 기관의 존재는 이러한 도구가 중국 소프트웨어 또는 위협 생태계 내에서 개발, 컴파일 또는 패키징되었음을 암시합니다.
설치 프로그램은 단순한 데이터 수집기라기보다는 RAT(원격 접속 트로이 목마)처럼 작동하며, 지속성을 유지하고 시스템 세부 정보 및 원격 명령 기능을 수집합니다.
결론
이 캠페인은 고도로 조직화된 사회 공학적 전술의 전형적인 사례로, 사기성 인도 소득세 준수 통지서를 악용하여 피해자들이 다단계 감염 사슬을 촉발하도록 유도합니다.
단순한 문서 유출을 넘어, 배포된 설치 프로그램은 시스템에 지속적으로 접근하여 광범위한 시스템 정보를 수집하고 원격 작업 실행이 가능한 명령 및 제어 채널을 유지합니다. 이러한 동작은 기본적인 감시 도구라기보다는 완전한 기능을 갖춘 원격 접속 트로이목마(RAT)에 더 가깝습니다. 여러 기술적 지표는 이 공격의 배후에 중국과 연관된 빌드 환경이 존재함을 시사합니다.
미끼는 단순해 보일 수 있지만, 그 이면의 구조는 결코 단순하지 않습니다. 이는 보안 담당자들에게 중요한 경각심을 일깨워줍니다. 친숙한 금융 관련 피싱 이메일조차도 단순한 계정 정보 탈취를 넘어 기기 전체의 보안 침해로 이어질 수 있다는 것입니다.
IOC:
파일 해시(MD5) –
4001854be1ae8e12b6dda124679a4077
F00F824FCAFBA9B26675AE8242F0B6A0
IP 주소/도메인 –
hxxps://www.akjys.top/
154 [.] 91 [.] 84 [.] 3
45 [.] 113 [.] 192 [.] 102
103 [.] 235 [.] 46 [.] 102
154[.]91[.]84[.]3[:]48991
154[.]91[.]84[.]3[:]48992
154[.]91[.]84[.]3[:]3898
QH/Seqrite 감지 항목:
PUA.NSECsoftCiR
트로이 목마.에이전트시르
MITRE 공격 전술, 기법 및 절차(TTP) –
| 전술(ATT&CK ID) | 기술/하위 기술(ID) | 순서 |
| 초기 액세스(TA0001) | 피싱: 스피어피싱 첨부파일(T1566.001) | 가짜 소득세 신고서 PDF 파일이 "Review Annexure.pdf"라는 이름으로 발송되었습니다. |
| 초기 액세스(TA0001) | 피싱: 스피어피싱 링크(T1566.002) | PDF 파일이 사용자를 가짜 ITD 포털 URL로 유도하고 악성코드 ZIP 파일의 자동 다운로드를 유발합니다. |
| 실행(TA0002) | 사용자 실행(T1204) | 피해자는 추출된 실행 파일 "setup_Ir5swQ3EpeuBpePEpew=.exe"를 수동으로 실행합니다. |
| 실행(TA0002) | 서명된 바이너리 프록시 실행(T1218) | NSIS 설치 프로그램이 합법적인 것처럼 보이도록 디지털 서명이 되어 있습니다. |
| 방어회피(TA0005) | 신뢰 제어 무력화: 코드 서명(T1553.002) | 중국 코드 서명이 포함된 페이로드가 보안 검사를 우회하는 데 사용되었습니다. |
| 방어회피(TA0005) | 아티팩트 삭제(T1070.004) | 1단계 로더는 실행 후 드롭된 파일과 임시 폴더를 삭제합니다. |
| 방어회피(TA0005) | 난독화/암호화된 페이로드(T1027) | 숨겨진 구성 요소와 보호된 디렉터리를 사용하는 다단계 NSIS 래핑. |
| 지속성(TA0003) | 시스템 프로세스 생성/수정: Windows 서비스(T1543.003) | NSeRTS.exe가 지속적인 백그라운드 서비스로 등록되었습니다. |
| 지속성(TA0003) | 부팅/로그온 자동 시작 실행(T1547.001) | 이 서비스는 사용자 개입 없이 부팅 시 자동으로 실행됩니다. |
| 디스커버리(TA0007) | 시스템 정보 검색(T1082) | 운영체제 버전, 시스템 세부 정보, 하드웨어, 서비스 등의 정보를 수집합니다. |
| 디스커버리(TA0007) | 소프트웨어 탐색(T1518) | 설치된 애플리케이션 정보를 수집합니다. |
| 명령 및 제어(TA0011) | 웹 프로토콜(T1071.001) | UID 등록을 통해 HTTP/HTTPS를 사용하여 네트워크 통신을 유지합니다. |
| 명령 및 제어(TA0011) | 비응용 계층 프로토콜(T1095) | C2는 통신을 위해 여러 개의 비표준 포트(48991/48992/3898 등)를 사용합니다. |
| 명령 및 제어(TA0011) | 일반적으로 사용되는 포트(T1043) | 대체 통신 수단으로 추가 C2 IP 두 개의 80번 포트를 사용할 수 있습니다. |
| 유출(TA0010) | 웹 서비스를 통한 유출(T1567.002) | 수집된 원격 측정 데이터는 HTTP POST를 통해 기본 C2 서버로 전송됩니다. |
| 유출(TA0010) | 예정된 이송 (T1029) | 의심스러운 프로세스가 백그라운드에서 계속 실행되면서 데이터가 정기적으로 업로드되고 있습니다. |
| 원격 접속(TA0012) | 원격 접속 도구(T1219) | NSeRTS.exe는 원격 명령 수신, 작업 할당 및 지속성을 가능하게 합니다. |
