카멜클론 작전: 지역적 긴장 속에서 정부 및 국방 기관을 겨냥한 다지역 첩보 작전

목차

• 개요
• 주요 목표
  • 영향을 받는 산업
  • 지리적 초점
  • 지정학적 맥락
• 감염 사슬
• 활동 타임라인
• 초기 발견
  • 미끼 문서 조사하기
• 기술 분석
  • 1단계 – 악성 아카이브 전달
  • 2단계 – 악의적인 지름길 실행
  • 3단계 – HOPPINGANT JavaScript 로더
• 인프라 및 속성
• 맺음말
• SEQRITE 보호
• 침해 지표(IOC)
• MITRE ATT&CK 매핑
• 작성자

개요

Seqrite Labs APT 팀은 전 세계의 위협을 모니터링해 왔으며 최근 여러 국가를 대상으로 하는 공격 캠페인을 발견했습니다. 특히 현재의 지정학적 긴장 상황을 고려하여 중동 지역을 집중적으로 살펴보았습니다. 이 캠페인이 흥미로운 점은 동일한 감염 기법을 사용하면서도 비슷한 시기에 여러 지역을 대상으로 공격했다는 것입니다.

이 블로그에서는 악성 압축 파일로 시작하여 결국 공격자가 악용하는 합법적인 도구 배포로 이어지는 이번 공격 캠페인의 감염 경로를 분석합니다. 또한 공격자들이 익명 파일 공유 웹사이트를 이용하여 악성 페이로드를 호스팅하고 배포하는 데 사용한 인프라도 살펴보겠습니다.

마지막으로, 이번 공격 캠페인에서 관찰된 기법들을 MITRE ATT&CK 프레임워크에 적용하여 분석하고, 공격자들이 사용한 인프라도 살펴보겠습니다.

주요 목표

영향을 받는 산업

• 정부 기관
• 국방 및 군사 조직
• 외교 및 국제협력 부서
• 정책 및 외교 기관
• 에너지 및 전략 자원 부문

지리적 초점

• 알제리
• 몽골
• 우크라이나
• 쿠웨이트

지정학적 맥락

이 캠페인의 표적이 된 국가들은 언뜻 보기에 관련이 없어 보일 수 있지만, 각각 현재의 지정학적 환경에서 중요한 위치를 차지하고 있습니다. 우크라이나는 여전히 러시아와의 치열한 분쟁의 중심에 있으며, 2026년을 향해 갈수록 하이브리드 전술이 더욱 격화되고 있습니다. 북아프리카 최대 에너지 수출국 중 하나인 알제리는 유럽, 러시아, 중국의 이해관계가 교차하는 지점에 놓여 있습니다. 특히 이러한 상황은 더욱 중요합니다. 관련된 알제리와 모로코가 관계 개선에 나서고 북아프리카가 미국의 지역 정책 중심에 더욱 가까워짐에 따라.

몽골의 입장은 점점 더 복잡해지고 있다. 최근에 쿠웨이트는 중국 및 러시아와의 관계를 심화하는 동시에 서방과의 파트너십을 유지함으로써 여러 경쟁 국가 행위자들에게 고가치 정보 목표물이 되었습니다. 몽골을 겨냥해 사용된 "중국과의 협력 확대"라는 유인책은 이러한 긴장 관계를 직접적으로 반영합니다. 쿠웨이트는 지속적인 방위산업 조달 활동을 통해 걸프 지역의 주요 안보 파트너로 남아 있으며, 걸프 지역 전체는 불안정을 야기하는 군사 활동과 전략적 경쟁에 계속 직면하고 있습니다.

감염 사슬

활동 타임라인

다음 타임라인은 연구 과정에서 관찰한 캠페인의 순서를 보여줍니다.

초기 발견

악성 스피어 피싱 공격 흔적을 추적하던 중, 이번 캠페인과 관련된 첫 번째 흥미로운 위협을 VirusTotal에서 발견했습니다. 해당 파일 이름은 وزارة_السكن_والعمران_والمدينة.png.zip입니다. 입수된 정보에 따르면, 이 파일은 2월 24일 알제리에서 제출되었습니다. 파일 이름은 "주택, 도시 개발 및 도시부"로 번역되며, 이는 공격자가 공식 정부 기관을 사칭하고 있음을 시사합니다. 이러한 명명 규칙을 바탕으로, 공격자는 주택, 도시 개발 또는 지방 행정을 담당하는 정부 기관에서 근무하는 사람들을 표적으로 삼았을 가능성이 높습니다. 처음 이 스피어 피싱 공격 요소를 발견했을 때, 특정 국가를 대상으로 하는 지역적인 공격일 것으로 예상했습니다.

그러나 연구를 계속하면서 동일한 인프라와 유사한 기술을 사용하는 또 다른 샘플을 식별했습니다. 이 샘플은 몽골을 대상으로 하며 미끼 Хятад улстай хамтын ажиллагаагаа ѩргужүүлж байна.zip을 사용했습니다. 파일명을 번역한 후 “중국과의 협력 확대” 이는 해당 유인책이 정부 기관, 외교 사무소 또는 국제 협력 및 외교 관련 조직에 종사하는 사람들을 대상으로 한다는 것을 시사합니다.

3월에 진행된 추가 모니터링에서 동일한 캠페인의 일부로 보이는 두 개의 샘플을 추가로 발견했습니다. 그중 하나는 '알제리-우크라이나 협력 제안.zip'이라는 이름의 유인 파일로, 국가 간 협력을 언급하며 외교 관계 담당자, 정부 부처 또는 국제 파트너십에 참여하는 기관을 표적으로 삼을 가능성이 높습니다. 최근 관찰된 또 다른 샘플은 '쿠웨이트 공군 무기 요구 사항.zip'이라는 유인 파일을 사용하는데, 이는 공격자들이 국방 또는 군사 관련 기관, 특히 조달, 물류 또는 전략 계획에 관여하는 기관을 표적으로 삼으려는 시도일 수 있음을 시사합니다.

미끼 문서 조사하기

우리가 실제로 발견한 캠페인 관련 첫 번째 파일은 وزارة_السكن_والعمران_والمدينة.png.zip이었습니다. 파일 이름은 아랍어로 쓰여 있으며, "주택·도시개발부"라는 뜻입니다.

ZIP 압축 파일에는 두 개의 파일이 들어 있습니다. 하나는 "참가 초대.lnk"라는 뜻의 دعوة للمشاركة.lnk이고, 다른 하나는 "주택·도시개발부.png"라는 뜻의 وزارة_السكن_والعمران_والمدينة.png입니다. 파일 이름으로 미루어 보아 두 문서 모두 합법적으로 보일 수 있으며, 피해자들이 파일을 열도록 유도하기 위한 목적으로 만들어진 것으로 추정됩니다.

미끼 이미지를 분석한 결과, 해당 로고가 알제리 정부의 한 부처 소유임을 확인했습니다. 이는 공격자들이 정부 기관이나 관련 단체에 소속된 사람들을 표적으로 삼기 위해 해당 로고를 사용했을 가능성을 시사합니다.

우리가 찾은 두 번째 샘플은 첫 번째 샘플이 공유된 직후 제출되었습니다. 샘플은 처음에 "중국과의 협력 확대"를 의미하는 Хятад улстай хамтын ажиллагаагаа ѩргѩжүүлж байна.zip이라는 ZIP 파일로 압축되었습니다. ZIP 파일에는 "중국과의 협력 확대"를 의미하는 Хятад улстай хамтын ажиллагаагаа ѩргужүүлж байна.lnk라는 두 개의 파일과 Мон-Атом ХХК.jpg라는 미끼 이미지가 포함되어 있습니다.

이미지에는 로고가 포함되어 있습니다. 몬아톰 LLC몽골의 국영 기업으로 우라늄 탐사 및 원자력 에너지 개발을 담당하는 회사입니다. 이는 공격자들이 몽골의 원자력 또는 에너지 부문과 관련된 조직을 언급하거나 사칭하려 했음을 시사합니다. 세 번째 악성코드는 3월 초에 발견되었으며, 파일명은 '알제리-우크라이나 협력 제안서.zip'이었습니다.

압축 파일을 자세히 살펴보니, Algerian Ukrainian proposals for cooperation.lnk와 MHUV.png라는 두 개의 파일이 들어 있었습니다. 분석 결과에 따르면 이 파일은 우크라이나에서 업로드된 것으로 보입니다. 흥미롭게도, 이 파일에는 알제리를 표적으로 삼아 주택도시개발부와 해당 도시를 언급했던 첫 번째 샘플에서 발견된 것과 동일한 로고가 포함되어 있습니다. 타임라인과 유인 문구를 분석해 볼 때, 동일한 공격자가 우크라이나와 알제리 모두를 동일한 유인 수단을 이용해 유사한 공격 대상을 노리고 있을 가능성이 높습니다.

최근 3월 4일에 발견된 샘플은 WeaponsrequirementsfortheKuwaitAirForce.zip 파일이었고, 이 샘플은 원래 이탈리아에서 업로드되었습니다. 하지만 자세히 살펴보니, 공격 대상이 다른 지역인 것으로 드러났습니다. 해당 ZIP 파일에는 Weapons requirements for the Kuwait Air Force.lnk와 Kuwait Armed Forces.png라는 두 개의 파일이 더 포함되어 있었습니다.

미끼 이미지에는 쿠웨이트 군대의 공식 엠블럼이 포함되어 있는데, 이는 해당 파일이 합법적인 것처럼 보이게 하고 이 위협 집단이 표적으로 삼은 피해자들의 신뢰를 얻기 위해 사용된 것으로 추정됩니다.

위에서 언급한 이미지 기반 미끼 외에도, 공격자는 감염 과정의 후반 단계에 해당하는 또 다른 미끼 문서를 원격 C2 서버에서 배포합니다.

하지만, 미끼 문서는 완전히 널(null) 값으로 채워져 있었는데, 이는 피해자의 주의를 다른 곳으로 돌리기 위한 목적으로 사용되었을 가능성이 높습니다. 이 섹션에서는 이미지와 널 값으로 채워진 문서 형태의 미끼들을 살펴보았습니다. 다음 섹션에서는 공격자가 사용한 전체 감염 경로에 대한 기술적 분석을 살펴보겠습니다.

기술 분석

이 섹션에서는 이번 캠페인에 사용된 감염 경로의 기술적 세부 사항을 살펴보겠습니다. 앞서 언급했듯이, 유인 문서는 다르지만 관찰된 캠페인들은 거의 동일한 기법을 사용했습니다. 이러한 동작을 명확하게 설명하기 위해 가장 최근의 사례에 초점을 맞추겠습니다.

감염은 미끼 이미지와 바로가기 파일이 포함된 ZIP 압축 파일에서 시작됩니다. 피해자가 바로가기 파일을 클릭하면 공격의 다음 단계가 시작됩니다. 감염 과정 후반부에는 공개 파일 공유 웹사이트에서 추가 구성 요소가 다운로드됩니다. 공격자는 최종적으로 이를 악용합니다. Rclone데이터 유출 목적으로 사용되는 합법적인 도구입니다.

1단계 – 악성 아카이브 전달

우리가 처음 발견한 피싱 공격 경로는 '쿠웨이트 공군 무기 요구사항.zip'이라는 이름의 ZIP 파일이었습니다.

ZIP 파일에는 쿠웨이트 공군 무기 요구사항 파일(Weapons requirements for the Kuwait Air Force.lnk)과 쿠웨이트 군 공식 로고 파일 두 개가 들어 있습니다. LNK 파일에는 다음 단계의 실행을 유발하는 악성 PowerShell 명령어가 포함되어 있으며, 이는 다음 섹션에서 자세히 살펴보겠습니다.

2단계 – 악의적인 지름길 실행

LNK 파일의 내용을 조사한 결과, 해당 파일에는 익명 파일 공유 웹사이트인 filebulldogs[.]com에 접속하여 최종 파일을 다운로드하는 PowerShell 명령어가 포함되어 있음을 발견했습니다. 페이로드이는 HOPPINGANT라는 별칭으로 추적되는 JavaScript 로더입니다.

악성 LNK 파일의 명령줄 인수를 조사한 결과, 해당 명령은 디렉터리를 $ENV:Temp로 변경하고, Invoke-WebRequest를 사용하여 hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js에서 f.js라는 JavaScript 파일을 다운로드한 후, Temp 디렉터리에 저장하고, 다운로드한 스크립트를 실행하여 공격의 다음 단계로 진행하는 것을 확인했습니다.

다음 섹션에서는 자바스크립트 로더에 대해 살펴보겠습니다. 호핑간트 우리는 이 파일이 앞서 언급한 모든 캠페인에서 공통적으로 사용되는 것을 발견했으며, 이는 캠페인 실행 측면에서 일관성을 유지시켜 줍니다. 이제 로더의 작동 방식을 자세히 살펴보겠습니다.

3단계 – HOPPINGANT JavaScript 로더

HOPPINGANT 로더라고 명명한 f.js 파일을 분석한 결과, 해당 파일에는 Wscript.Shell 객체를 생성하고 Base64로 인코딩된 PowerShell 명령 두 개를 실행하는 Windows Script Host(WSH) JavaScript가 포함되어 있음을 확인했습니다. 이 명령들은 `powershell -enc` 인수를 사용하여 실행되는데, 이를 통해 공격자는 실제 PowerShell 명령어를 인코딩된 데이터 안에 숨길 수 있습니다. Base64로 인코딩된 PowerShell 명령을 디코딩한 결과, 호핑간트 로더를 분석한 결과, 해당 스크립트가 추가 페이로드를 검색하고 데이터 유출을 위해 시스템을 준비하는 여러 작업을 수행하는 것을 확인했습니다.

먼저 스크립트는 작업 디렉토리를 Temp 폴더로 변경하고 filebulldogs.com에 호스팅된 원격 서버에서 document.pdf라는 파일을 다운로드합니다. 이는 앞서 언급한 미끼 문서로, 피해자의 주의를 분산시키기 위해 널 바이트로 채워진 파일입니다.

해당 스크립트는 동일한 원격 서버에서 a.zip이라는 이름의 또 다른 압축 파일을 다운로드하고 그 내용을 압축 해제합니다. 압축 해제된 ZIP 파일에서 l.exe라는 실행 파일을 발견했으며, 이 파일은 이후 사용자 프로필 디렉터리로 복사되어 실행됩니다. 추가 분석 결과, l.exe는 Rclone이라는 정식 소프트웨어, 특히 특정 버전임을 확인했습니다. v1.70.3.

바이너리 파일을 실행한 후, 스크립트는 정수 배열에서 간단한 XOR 기반 디코딩 루틴을 사용하여 암호를 재구성합니다. 이렇게 디코딩된 암호를 사용하여 스크립트는 공개적으로 사용되는 원격 스토리지 서비스인 Mega에 로그인합니다. 이때 사용자 이름은 oliwiagibbons@onionmail[.]org이고 암호는 디코딩된 암호입니다. 네 가지 캠페인에 사용된 이메일 주소는 모두 서로 다릅니다.

원격 연결이 설정되면 실행 파일 l.exe가 사용되어 피해자 시스템에서 파일을 수집하고 업로드합니다. 이 스크립트는 특히 바탕 화면 디렉터리에 있는 .doc, .docx, .pdf, .txt 파일 등의 문서를 대상으로 합니다. 또한 Telegram Desktop\tdata 디렉터리에서 Telegram 세션 데이터를 유출하려고 시도합니다. 수집된 파일은 Mega 스토리지 계정에 업로드되어 공격자가 원격으로 탈취된 데이터를 검색할 수 있게 됩니다. 이 위협은 합법적인 소프트웨어와 공개적으로 사용 가능한 서비스를 악용하여 피해자 시스템에서 데이터를 유출합니다. 다음 섹션에서는 이 캠페인과 관련된 인프라 및 공격 주체를 살펴보겠습니다.

인프라 및 속성

연구 과정에서 우리는 해당 공격 캠페인이 악성 페이로드를 호스팅하고 전달하기 위해 공개적으로 접근 가능한 서비스를 이용한다는 사실을 확인했습니다. 전용 C2 인프라를 구축하는 기존의 APT 공격 방식과는 달리, 이 공격자는 합법적인 공용 플랫폼 위에 모든 운영 체계를 구축하여 네트워크 기반 탐지를 훨씬 어렵게 만들었습니다.

초기에 우리는 이 캠페인과 관련된 주요 네트워크 흔적이 익명 파일 공유 웹사이트인 filebulldogs[.]com이라는 것을 발견했습니다. 이 웹사이트는 전체 감염 과정에서 유일한 스테이징 서버 역할을 합니다. 알제리, 몽골, 우크라이나, 쿠웨이트 등 어떤 지역을 대상으로 하든, 관찰된 모든 캠페인은 동일한 도메인을 사용하여 HOPPINGANT 자바스크립트 로더(f.js), 페이로드 아카이브(a.zip), 그리고 디코이 문서(document.pdf)를 호스팅합니다. 그러나 공격자는 각 캠페인마다 업로드 경로를 변경하여 /uploads/AVQB61TVOX/, /uploads/OKW5RN48ZJ/, /uploads/F1OQY9GU84/와 같은 다른 디렉터리 이름을 사용합니다. 이는 각 캠페인을 분리하고 모든 페이로드가 동시에 삭제될 위험을 줄이는 데 도움이 된다고 생각합니다. 또한 공격자는 이를 통해 짧은 시간 내에 여러 캠페인을 실행할 수 있습니다.

이제, 작전의 데이터 유출 측면으로 넘어가서, 공격자가 탈취한 데이터의 원격 접근 지점으로 공개 클라우드 스토리지 서비스인 MEGA[.]nz를 악용하는 것을 확인했습니다. 이번 공격 캠페인에서 사용된 MEGA 계정들은 모두 다음 주소로 등록되어 있습니다. onionmail.org MEGA 이메일 주소는 신원 확인이 필요 없어 위협 행위자들 사이에서 인기 있는 익명 이메일 서비스입니다. 분석한 변종들을 통해 최근에 등록된 네 개의 서로 다른 MEGA 계정을 확인했습니다.

1. coreyroberson@onionmail[.]org – 2026년 2월 17일 등록
2. keatonwalls@onionmail[.]org – 2026년 2월 20일 등록
3. oliwiagibbons@onionmail[.]org
4. theresaunderwood@onionmail[.]org

이 계정들에 사용된 자격 증명은 HOPPINGANT 로더 내부에 저장되며, 동일한 키 값 56을 사용하는 간단한 XOR 인코딩 방식으로 숨겨져 있습니다. 이 키는 분석된 모든 캠페인 샘플에서 재사용됩니다. 또한, Rclone 구성 매개변수도 12개의 스레드, 12개의 전송, 100M의 대역폭 제한을 포함하여 모든 캠페인에서 동일하게 유지됩니다. 동일한 인코딩 키와 동일한 Rclone 설정이 재사용된다는 것은 관찰된 모든 샘플이 동일한 조직적인 캠페인의 일부일 가능성이 높다는 것을 시사합니다.

"Corey Roberson"이라는 계정 하나에만 약 4KB 크기의 파일이 저장되어 있었습니다. 이 파일들은 임의의 이름을 가진 문서 안에 알아볼 수 없는 데이터가 적혀 있었습니다.

현재로서는 이 캠페인을 특정 위협 행위자의 소행으로 단정짓지는 못하고 있습니다. 그러나 알제리, 몽골, 우크라이나, 쿠웨이트 등의 국가에서 정부, 국방, 외교, 에너지 부문을 대상으로 한 공격 패턴과 지정학적 주제를 활용한 유인책 사용은 이러한 활동이 금융 사이버 범죄보다는 정보 수집 목적에 더 가깝다는 것을 시사합니다. 저희는 이러한 캠페인을 '작전명'으로 추적하고 있습니다. 카멜클론이러한 표적 패턴은 강대국 간의 경쟁 속에서 국가들의 외교 정책, 국방 능력 및 외교적 동맹 관계를 감시하는 데 이해관계를 가진 행위자가 있음을 시사합니다.

맺음말

Seqrite Labs는 당사가 추적하는 여러 캠페인을 다음과 같이 식별했습니다. 카멜클론 작전조사 과정에서 우리는 알제리, 몽골, 우크라이나, 쿠웨이트 등지에서 정부, 국방, 외교 관련 주제를 표적으로 삼는 여러 샘플을 단기간 내에 발견했습니다. 공격자들은 미끼 문서가 포함된 ZIP 압축 파일을 이용하여 감염을 시작합니다.

이 캠페인의 흥미로운 점 중 하나는 공격자가 기존의 명령 및 제어 인프라에 의존하지 않는다는 것입니다. 대신, 악성 페이로드는 공개 파일 공유 서비스인 filebulldogs[.]com에 호스팅되고, 탈취된 데이터는 합법적인 도구인 Rclone을 사용하여 MEGA 스토리지에 업로드됩니다.

분석한 네 가지 캠페인 전반에 걸쳐 동일한 현상을 관찰했습니다. 호핑간트 로더, 암호 해독에 동일한 XOR 키를 재사용하는 방식, 그리고 유사한 Rclone 구성 매개변수 등이 유사합니다. 이러한 유사점은 해당 샘플들이 동일한 작전의 일부일 가능성이 높다는 것을 시사합니다.

현재로서는 이 활동이 특정 위협 집단과 연관되어 있다고 단정할 수는 없습니다. 그러나 미끼로 사용된 수단과 미끼 문서에 언급된 분야들을 고려할 때 정보 수집 목적이 있었을 것으로 추정됩니다. 저희는 이 활동과 관련된 추가적인 활동이 확인될 경우 업데이트된 정보를 제공할 예정이며, 중복되는 부분이 있는지 지속적으로 모니터링할 것입니다.

SEQRITE 보호

링크.트로얀.50485

링크.트로이.50481.GC

스크립트.트로이.50480.GC

침해 지표(IOC)

해시(SHA-256)입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에

31f1a97c72f596162f0946df74838d3bef89289ce630adba8791c0f3220980ee	وзارة_السكن_والعمران_والمدينة.png.zip
51af876b0f7fde362c69219f7dec39f7fb667fb53dc5fe2cbdf841d6c5951460	Weapons%20requirements%20for%20the%20Kuwait%20Air%20Force.zip
27d7a398a58c12093bc49f7144dac2f079232768096d0558c226ea5c53782e29	알제리-우크라이나 협력 제안서.zip
4a0e2649f89e11121ffe55546ee081ac07472db650d094314414ebf26fcb7a8e	Хятад улстай хамтын ажиллагаагаа ѩргужүүлж baйна.zip
92962bfa6df48ec0f13713c437af021f4138dc5a419bc92bc8a376d625a6519a	دعوة للمشاركة.lnk
1d0ea66d347325902e20a12e1f2f084be45d3d6045264e513dcc420b9928013c	쿠웨이트 공군 무기 요구사항.lnk
2671e1f43b2e5911310c5b3f124c076055eec5dee4e596854332ffcf791fd740	알제리-우크라이나 협력 제안.lnk
2902cdee050a60c3129b4bb84e74ddda7b129c3473556f689d83609d9a5981a7	Хятад улстай хамтын ажилагаагаа 뚜르거거즈үүлж baйна.lnk
630ac67d8db777ae0b93e066bd13b21908e79f23a41a64448f0a4ea38c063a44	f.js
230a22a1f1800f11718b43a7ce9390d2ef0fa9dc212d954c8fafbfbe997bbbef	f.js
62c477c0827752ffeb8ea243497eef1c666fc41025d287909d021bceb5b8e699	f.js
2dcaaedfad798dad87f27aef39885d2879825c4c8bed1dcd9e863aba0d463103	f.js
3e36b396c4cb71b8eaae2300c21bec26700b27ce5f6be83ef6b86d214e294c8b	l.exe

이메일 주소

oliwiagibbons@onionmail[.]org

theresaunderwood@onionmail[.]org

keatonwalls@onionmail[.]org

coreyroberson@onionmail[.]org

URL이

hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/f.js

hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/f.js

hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/f.js

hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/f.js

hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/document.pdf

hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/document.pdf

hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/document.pdf

hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/document.pdf

hxxps://filebulldogs[.]com/uploads/AVQB61TVOX/a.zip

hxxps://filebulldogs[.]com/uploads/OKW5RN48ZJ/a.zip

hxxps://filebulldogs[.]com/uploads/F1OQY9GU84/a.zip

hxxps://filebulldogs[.]com/uploads/82WX5GP8CI/a.zip

MITRE ATT&CK 매핑

술책기술 ID기술명

초기 액세스	T1566.001	피싱: 스피어피싱 첨부 파일
실행	T1204.002	사용자 실행: 악성 파일
	T1059.001	명령 및 스크립팅 인터프리터: PowerShell
	T1059.007	명령 및 스크립팅 해석기: JavaScript
방어 회피	T1027	난독화된 파일 또는 정보
	T1218	시스템 바이너리 프록시 실행
명령 및 제어	T1071.001	애플리케이션 계층 프로토콜: 웹 프로토콜
	T1105	인그레스 도구 전송
수집	T1005	로컬 시스템의 데이터
	T1213	정보 저장소의 데이터
여과	T1567.002	클라우드 스토리지로의 유출

작성자

• 프리야 파텔
• 카르틱 지바니
• 사트윅 람 프라키