목차 :
- 소개 :
- 감염 사슬:
- 대상 부문:
- 캠페인에 대한 초기 조사 결과:
- 미끼 분석:
- 기술적 분석 :
- 1단계: 윈도우 바로가기 파일(.LNK) 분석.
- 2단계: 배치 파일 분석.
- 3단계: 은밀한 RAT에 대한 상세 분석.
- 결론 :
- Seqrite 적용 범위:
- IOC
- MITER ATT & CK
소개 :
Seqrite Labs는 아르헨티나 사법부를 표적으로 삼는 전 세계적인 스피어 피싱 캠페인을 발견하고 적발했습니다. 이 캠페인은 다단계 감염 경로를 이용하여 은밀한 원격 접속 트로이목마(RAT)를 배포하는 고도의 운영 기법을 보여줍니다. 이 스피어 피싱 캠페인은 예방적 구금 심사와 관련된 아르헨티나 연방 법원의 합법적인 판결문을 악용하여 Rust 기반 원격 접속 트로이목마를 유포합니다.
감염 사슬:
대상 분야:
이 캠페인은 주로 아르헨티나 사법 부문을 대상으로 하며, 법률 전문가, 사법 관련 정부 기관, 학술 기관 및 법률 옹호 단체까지 포함합니다. 이 캠페인은 매우 정교하게 위조된 사법 관련 문서를 활용하여 법원 소통에 대한 신뢰를 악용하고, 은밀한 원격 접속 트로이목마(RAT)를 성공적으로 전달하여 민감한 법률 및 기관 데이터에 장기간 접근할 수 있도록 합니다.
남미 (주요 초점): 아르헨티나
사법 기관, 법률 전문가, 사법 관련 정부 기관
근거: 위장 문서에는 아르헨티나 연방 법원에 대한 언급과 지역별 법률 용어가 사용되어 아르헨티나 내 특정 지역을 표적으로 삼았음을 시사합니다.
캠페인에 대한 초기 조사 결과:
상세한 분석 결과, 본 행위는 신뢰할 수 있는 플랫폼, 고급 분석 방지 기술, 그리고 은밀한 Rust 기반 원격 접속 트로이목마(RAT)를 활용하여 사법 부문 환경 내에 지속적인 접근 권한을 확보하려는 고도로 표적화된 다단계 침입 캠페인으로 평가됩니다.
이 공격은 ZIP 압축 파일이 포함된 표적 스피어 피싱 이메일을 통해 이루어집니다. 압축 파일에는 악성 LNK 파일, BAT 기반 로더 스크립트, 그리고 위장용 법률 문서처럼 보이는 PDF 파일이 포함되어 있습니다. 사용자가 LNK 파일을 클릭하면, 위장 문서가 피해자에게 표시되는 동안 악성 프로그램 실행이 시작되어 최종 악성 코드가 은밀하게 배포됩니다.
Zip: D:\auto_black_abuse\resources\unzipped\20251215_141941_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip
- LNK: info/juicio-grunt-posting.pdf.lnk
- BAT: info/health-check.bat
- 미끼/PDF: info/notas.pdf
미끼 분석:
이 캠페인에 사용된 위장 문서는 정식 법률 스페인어로 작성된, 마치 진짜처럼 보이는 아르헨티나 연방 법원 결정문입니다. 이 문서는 국가사법부(Poder Judicial de la Nación)에서 발행된 것처럼 위장하고 있으며, 실제 사법 기관(Tribunal Oral en lo Criminal y Correccional N° 2 de la Capital Federal)을 언급하고, 사건 번호, 판사 서명, 절차 관련 용어까지 완벽하게 갖추고 있습니다. 문서에는 예방적 구금에 대한 사법 심사 내용이 담겨 있으며, 의학적 평가, 법적 근거, 아르헨티나 형사소송법의 특정 조항을 인용하여 피고인에게 조건부 석방(excarcelación)을 허가하는 내용이 포함되어 있습니다. 구조, 용어, 형식 등이 실제 법원 판결문과 매우 유사하여 법조계 및 사법 전문가들 사이에서 신뢰도를 크게 높였습니다.
이 미끼는 사법 관련 소통에 대한 신뢰를 악용하도록 설계된 사회공학적 메커니즘입니다. 공격자는 구금 심사 및 법원 결정과 같은 일상적인 법률 업무 절차와 일치하는 문서 뒤에 악성코드 유포 과정을 숨겨 사용자의 상호 작용 가능성을 높이는 동시에 의심을 최소화합니다. 사법 관계자, 법률 전문가 및 관련 기관과의 연관성을 고려할 때, 이 문서는 기회주의적인 유포라기보다는 의도적이고 특정 분야를 겨냥한 공격임을 강력하게 시사합니다. 권위 있는 법률 관련 미끼와 은밀한 실행 과정을 결합한 것은 사법 분야 환경에 은밀하게 초기 접근하고 장기간 지속하기 위한 치밀한 계획적 시도임을 나타냅니다.
기술적 분석 :
다운로드한 ZIP 압축 파일(D:\auto_black_abuse\resources\unzipped\20251215_141941_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip)을 분석한 결과, 악성 LNK 파일(info/juicio-grunt-posting.pdf.lnk), BAT 기반 로더 스크립트(info/health-check.bat), 그리고 사법 관련 내용을 담은 위장 PDF 문서가 포함되어 있는 것을 확인했습니다. 이 압축 파일은 다단계 실행 과정에서 초기 전달 패키지로 사용되었습니다.
1단계: Windows 바로가기 파일(.LNK) 분석 – info/juicio-grunt-posting.pdf.lnk:
분석 과정에서 우리는 위에서 언급한 이름의 LNK 파일 내용을 추출했는데, 그 안에는 아래와 같이 매우 간단한 코드가 들어 있었습니다.
| Windows System32 Windows PowerShell을 powershell.exe C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 그런트-PC Windows System32 윈도우파워셸 powershell.exe *C:\Windows\System32\WindowsPowerShell\v1.0(-ep bypass -w hidden -f health-check.bat%E:\repos\C2R2-v2\dropper\pdf_icon.ico |
LNK 파일은 시스템 디렉터리에서 PowerShell을 실행하여 배치 스크립트를 은밀하게 실행하는 데 사용됩니다. 이 파일은 PowerShell의 실행 정책을 우회하고 숨김 모드로 실행되어 사용자의 감지를 피합니다. PDF 아이콘이 포함된 것은 바로 가기가 정상적인 파일로 위장되어 있음을 시사하며, 사용자를 속이고 악성 코드를 몰래 실행하려는 시도임을 나타냅니다.
2단계: BAT 파일 분석 – info/health-check.bat:
해당 배치 파일은 GitHub에서 호스팅되는 URL에 연결하여 2단계 페이로드를 가져오는데, 이는 원격 액세스 트로이목마(RAT)로 추정되며, 이는 다단계 악성코드 유포 메커니즘을 시사합니다.
이 PowerShell 명령은 실행 정책을 우회한 숨김 모드로 PowerShell을 실행하여 GitHub 리포지토리에서 페이로드를 조용히 다운로드하고 실행합니다. 따라서 사용자에게 노출되지 않고 보안 제어를 회피할 수 있습니다. 이 명령은 WebClient 객체를 생성하고 정상적인 브라우저 트래픽처럼 보이도록 User-Agent 문자열을 할당하여 탐지 메커니즘을 우회합니다.
해당 명령은 GitHub에서 health-check.exe라는 파일을 가져와 Microsoft Edge 사용자 데이터 디렉터리에 msedge_proxy.exe라는 이름으로 저장합니다. 이때 신뢰할 수 있는 파일 이름과 위치를 사용하여 정상적인 파일처럼 보이게 합니다. 마지막으로 Start-Process 명령어를 사용하여 다운로드한 바이너리를 실행하고 페이로드를 트리거하여 2단계 악성코드 실행이 발생했음을 나타냅니다.
해당 EXE 파일은 특정 Windows 레지스트리 키를 조회하기 위해 여러 명령줄 프로세스를 생성하여 환경 및 가상화 감지 동작을 보입니다. 특히 VMware, VirtualBox, Hyper-V와 같은 인기 있는 가상화 및 샌드박스 플랫폼과 관련된 아티팩트를 찾기 위해 해당 플랫폼의 도구 및 서비스와 연결된 레지스트리 경로를 조회합니다. 이러한 활동은 실행 파일이 가상화 환경 또는 분석 환경에서 실행 중인지 여부를 확인하려는 시도임을 나타냅니다.
3단계: RAT(원격 접속 트로이목마) msedge_proxy.exe에 대한 상세 분석:
분석 결과 msedge_proxy.exe는 광범위한 안티 VM, 안티 샌드박스 및 안티 디버그 검사를 수행하며, 분석 아티팩트가 감지되면 즉시 실행을 종료하는 것으로 나타났습니다.
이 시스템은 호스트 시스템 정보를 수집하고, IPv4/IPv6 폴백 기능을 갖춘 안정적인 C2 연결을 설정하며, 지속성, 파일 전송, 데이터 수집, 암호화 및 권한 상승을 지원하는 모듈식 명령 세트를 제공합니다.
명령어는 Base64로 인코딩되어 동적으로 실행되며(DLL 기반 랜섬웨어 및 스틸러 모듈 포함), 영구 설치 및 깔끔한 제거를 위한 전체 수명 주기를 지원합니다.
아래는 msedge_proxy.exe에 대한 상세 분석입니다.
- WMIC 제조업체 확인 #1
함수는 다음으로 시작합니다:
wmic 컴퓨터 시스템 제조업체 가져오기
이 코드는 출력을 캡처한 다음 소문자로 변환하고 가상화 공급업체 문자열 세트와 비교합니다.
- VM웨어
- 버추얼
- 케무
- 마이크로소프트사(Hyper-V)
- 젠
- 평행선
- 가상 환경에 속하는 레지스트리 경로
출력 결과가 일치하면 악성 프로그램은 즉시 종료됩니다.
- 대규모 부분 문자열 일치: VM/샌드박스 표시기
이 함수는 다음과 같은 내용을 포함하는 매우 큰 연결된 문자열을 로드합니다.
레지스트리 키:
HKLM\SOFTWARE\VMware, Inc.\VMware Tools
HKLM\SYSTEM\ControlSet001\Services\vmmouse
HKLM\SYSTEM\ControlSet001\Services\vmhgfs
HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions
HKLM\HARDWARE\ACPI\DSDT\VBOX__
HKCU\소프트웨어\와인
VM/분석 파일:
C:\windows\System32\Drivers\Vmmouse.sys
C:\windows\System32\Drivers\vmhgfs.sys
C:\windows\System32\Drivers\VBoxMouse.sys
C:\windows\System32\Drivers\VBoxGuest.sys
C:\windows\System32\Drivers\VBoxSF.sys
C:\windows\System32\vboxdisp.dll
C:\windows\System32\vboxhook.dll
C:\windows\System32\vboxogl*.dll
샌드박스 디렉터리:
C:\분석
C:\sandbox
C:\sample.exe
C:\malware.exe
VM MAC 접두사:
00:05:69 (VMware)
00:0c:29 (VMware)
00:1c:14 (VMware)
00:50:56 (VMware)
08:00:27 (VirtualBox)
52:54:00 (QEMU/KVM)
00:15:5d (하이퍼-V)
분석 도구:
프로시저.exe
procexp.exe
와이어샤크.exe
피들러.exe
올리dbg.exe
이다.exe
ida64.exe
x64dbg.exe
x32dbg.exe
windbg.exe
이 프로그램은 다음 모든 경우를 반복합니다. 부분 문자열이 존재하면 프로그램을 종료합니다.
- 작업 목록 스캔: 분석 프로세스 감지
실행됩니다:
작업 목록
그다음 의심스러운 프로세스를 찾습니다.
- vmsrvc.exe
- vmusrvc.exe
- vboxtray.exe
- vmwaretray.exe
- vmwareuser.exe
- vmacthlp.exe
- sandboxiedcomlaunch.exe
- sandboxierpcss.exe
- 프로시저.exe
- procexp.exe
- 와이어샤크.exe
- 피들러.exe
- 올리dbg.exe
- ida.exe / ida64.exe
- x64dbg.exe / x32dbg.exe
- windbg.exe
발견되면 종료합니다.
- 파일 존재 여부 확인
그 후 약 128개의 파일 경로를 확인합니다.
Path::exists(path[i])가 존재하는 경우:
출구()
다음은 VM 드라이버 파일, 디버그 도구, 샘플 폴더 이름 등입니다.
이 루프는 간단한 샌드박스/분석 도구 탐지 경로 검사를 수행합니다. 16바이트 단위로 하드코딩된 경로 목록을 순회하며 각 경로에 대해 `std::path::Path::exists()` 메서드를 호출합니다. 이러한 경로 중 하나라도 존재하면(일반적으로 가상 머신, 분석 도구 또는 샌드박스와 관련된 디렉터리나 파일) 조건이 참이 되고, 악성 프로그램은 즉시 프로세스를 종료합니다.
디버깅 방지: PEB 검사:
이 코드는 여러 가지 안티 디버그 검사를 수행합니다. 먼저 IsDebuggerPresent 플래그와 PEB의 BeingDebugged 플래그를 사용하여 디버거를 감지하고, 둘 중 하나라도 참이면 즉시 종료됩니다. 그런 다음 짧은 대기 시간 전후의 시간을 측정하여 브레이크포인트 지연이나 VM 속도 저하를 찾아내는 타이밍 기반 안티 분석 테스트를 실행합니다. 마지막으로 QueryPerformanceFrequency를 사용하여 시스템의 고해상도 성능 카운터를 검증하고, 타이머가 에뮬레이터나 계측 환경과 같이 비정상적으로 동작하는 경우 악성코드는 오류를 발생시키고 종료됩니다.
- 시스템 정보 수집:
이 기능은 악성 프로그램의 시스템 정보 수집 기능입니다.
이는 다음과 같은 가치를 함양합니다:
- 호스트 이름
- 사용자 이름
- OS 이름
- 권한 수준(관리자/사용자)
- 필드를 확인한 후 다음 명령을 실행합니다.
- 호스트 이름 → PowerShell WMI 쿼리
- 사용자 이름 → %USERNAME%에 에코하거나 WMI 대체 기능을 사용하세요.
- OS → WMI ProductName 또는 레지스트리 대체
- 권한 → 네트워크 세션 기법
(net session >nul 2>&1 && echo Admin || echo User)
- C2C 연결:
안티VM 검사를 마친 후 악성 프로그램은 네트워크 연결 루틴에 접속하려고 시도합니다.
해당 루틴은 먼저 C2 주소를 IP:port 형식의 표준 IPv4 엔드포인트(예: 181.231.253.69:4444)로 파싱하려고 시도합니다.
IPv4 구문 분석이 잘못된 숫자 옥텟, 구분 기호 누락 또는 잘못된 형식으로 인해 실패하면 [xxxx:xxxx:xxxx::1]:port와 같은 대괄호 형식을 지원하는 IPv6 구문 분석 루틴으로 전환하여 주소 블록과 포트를 올바르게 분리합니다.
IPv4 및 IPv6 구문 분석이 모두 실패하면 악성 프로그램은 항상 연결할 수 있는 대체 서버를 확보하기 위해 하드코딩된 내장 명령 및 제어(C2) 문자열을 기본으로 사용합니다.
181.231.253.69:4444__PERSIST__:PERSIST_REMOVE____BEACON:DOWNLOAD:UPLOAD|HARVEST” “ENCRYPT:DECRYPT:__ELEVATE__\n” “<>\n”;
이것은 기본 백업 명령 및 제어 서버입니다.
구문 분석에 실패할 때마다 악성 프로그램은 이 문자열로 되돌아갑니다.
초기 C2 핸드셰이크 수행
악성 프로그램은 연결 후 서버에 "자신을 식별"해야 합니다.
일반적으로 다음이 포함됩니다.
비콘 메시지 전송
일반적으로 다음을 포함합니다:
| 분야 | 목적 |
| 피해자 신원 | 고유 호스트 지문 |
| 프로세스 이름 | 운영자가 호스트를 식별하는 데 도움이 됩니다. |
| 권한 수준 | 시스템/관리자/사용자 |
| OS 버전 | 호환성을 위해 |
| 아키텍처 | x86 / x64 |
| 현재 시간 | 일정 관리에 사용됩니다. |
| 기능 | 에이전트가 지원하는 것 |
명령어 세트:
| C2 명령 | 동작 |
| 지속하세요 | 영구 저장소 설치(작업 스케줄러, 시작 프로그램 등) |
| __지속_제거__ | 지속성을 제거합니다 |
| __봉홧불__ | 재신호/심장 박동 |
| 다운로드 | 파일 다운로드 (C2 → 피해자) |
| 업로드 | 파일 업로드 (피해자 → C2) |
| __수확하다__ | 데이터를 훔치다 |
| __암호화__ | 파일 암호화 |
| 암호 해독 | 파일 복호화 |
| __올리다__ | 권한 상승을 시도해 보세요 |
이것들은 악성코드가 C2에 알리는 정확한 명령 식별자입니다.
이는 모듈형 사후 공격 백도어와 일치합니다.
__PERSIST_ 명령어 (지속성 및 권한 관리)
레지스트리 실행(사용자):
std::process::Command를 통해 구성된 reg add 인수를 사용하여 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 아래에 값을 추가합니다. 추가되는 값 이름은 SecurityHealthSystray, OneDriveSetup, AdobeAAMUpdater, GoogleChromeAutoLaunch, MicrosoftEdgeAutoLaunch, Teams Machine Installer와 같이 임의로 생성된 "정상적인" 이름입니다. 오류 문자열에는 "Error en reg add"(스페인어)가 포함됩니다.
예약 된 일정:
schtasks 명령어를 사용하여 /TN, /TR, /DELAY0001:00 옵션과 선택적으로 /RL HIGHEST 옵션을 통해 작업을 생성합니다. 실행 파일은 인자 벡터를 구성하고 "예약된 작업이 정리되었습니다"와 같은 정리 메시지와 함께 Command::output을 출력합니다.
| PERSIST_REMOVE (지속성 제거): |
이 Rust로 작성된 악성코드는 레지스트리 실행, 예약 작업 및 WMI 구독과 같은 여러 지속성 메커니즘을 구현한 후, 완벽한 정리 기능까지 포함하고 있습니다.
이 코드는 C2가 명령을 보낼 때 실행됩니다.
PERSIST_REMOVE____BEACON:DOWNLOAD:UPLOAD|HARVEST____ENCRYPT:DECRYPT:ELEVATE <>
레지스트리 정리: 이전에 생성했던 모든 Run 키 항목을 삭제합니다.
예약된 작업 제거: 해당 예약된 작업과 관련된 모든 작업을 제거합니다.
비콘(재비콘/심장 박동):
BEACON 명령어는 감염된 호스트와 공격자의 명령 및 제어(C2) 시스템 간의 통신을 유지하는 데 핵심적인 역할을 합니다.
아래 코드 조각은 악성 프로그램이 명령을 처리하는 논리를 나타냅니다.
비콘:다운로드:업로드|수확____암호화:복호화:상승
< >
이 명령은 임플란트에게 다음과 같이 지시합니다.
서버로 하트비트/비콘을 전송합니다.
기기 정보를 포함하세요
선택적으로 추가 명령을 준비하세요.
살아남고 조용히 끈기를 유지하세요
다운로드:
`_DOWNLOAD__` 명령어는 C2 서버에서 파일을 가져오는 것이 아닙니다. 오히려 피해자로부터 파일을 훔쳐 공격자에게 전송하는 파일 유출 메커니즘입니다. 이러한 명명 방식은 RAT(원격 접근 트로이목마) 및 파일 스틸러에서 흔히 사용됩니다.
이것이 가장 중요한 단계입니다.
악성 프로그램은 다음과 같은 내용이 포함된 형식의 메시지를 생성합니다.
파일 이름
파일 크기
Base64 데이터
형식 구조: [ 파일 이름 | 크기 | base64 데이터 ]
업로드:
이 악성 소프트웨어는 명령어로 실행되는 완전한 기능을 갖춘 파일 업로드 모듈도 제공합니다.
업로드|수집____암호화__:복호화__:증강__
< >
이를 통해 공격자는 피해자의 컴퓨터에 임의의 파일을 전송할 수 있습니다.
이 기능은 다음과 같은 경우에 필요합니다.
추가 탑재물 투하
임플란트 업데이트
랜섬웨어 모듈 배포
DLL 사이드 로딩
후속 단계 실행
수확하다:
해당 코드 블록은 서버에서 다음과 같은 메시지를 보낼 때 실행됩니다.
수확____암호화__:__복호화__:__상승__
< >
이 명령은 디스크에 암호화된 파일로 저장된 비활성화된 자격 증명 수집 모듈을 활성화합니다.
악성 프로그램은 피해자 시스템에 두 개의 파일이 이미 존재할 것으로 예상합니다.
stealer.enc → 암호화된 DLL
stealer.key → XOR 키
둘 중 하나라도 누락되면 악성 프로그램은 다음과 같이 응답합니다.
__ERROR__: steeler.enc에는 반대가 없습니다. El servidor debe subirlo primeo.
__ERROR__: steeler.key에 반대하는 내용이 없습니다. El servidor debe subirlo primeo.
암호화 및 복호화 명령어:
이 악성 프로그램은 __ENCRYPT__:__DECRYPT__:__ELEVATE__ 또는 __DECRYPT__:__ELEVATE__와 같은 C2 명령을 수신하고 대상 폴더와 모드를 분석합니다.
이 프로그램은 ransomware.enc(암호화된 DLL) 파일과 ransomware.Key 파일을 검사한 후, 제공된 키를 사용하여 DLL 파일을 복호화합니다.
이 코드는 DLL을 동적으로 로드하고 명령에 따라 encrypt_directory 또는 decrypt_directory 함수를 호출합니다.
랜섬웨어 엔진은 지정된 경로의 모든 파일을 처리하고 텍스트 결과(정상, 오류 또는 암호화된 데이터)를 반환합니다.
__ELEVATE__ 명령:
악성코드의 __ELEVATE__ 명령어, 즉 권한 상승 모듈의 전체 구현체입니다.
이 기능은 PowerShell 권한 상승 스크립트를 생성하고, 디스크에 저장하고, RunAs 명령으로 실행하고, UAC 권한 상승을 기다린 후, 스크립트를 삭제하고, C2 서버에 상태 메시지를 반환합니다.
7. 명령 수신 및 디코딩:
명령어는 BASE64로 인코딩되어 도착하며, 다음 과정을 통해 처리됩니다:
agent::base64_decode::_$u7b$$u7b$closure$u7d$$u7d$::h968157c94086d467
디코딩 절차는 4바이트 시퀀스를 한 번에 하나씩 디코딩하여 원래 메시지를 복원합니다.
4바이트 입력당 3바이트 출력
패딩 '='의 경우를 처리합니다.
디코딩된 바이트를 벡터 구조에 추가합니다.
이는 C2 명령어가 항상 base64로 인코딩된다는 것을 증명합니다.
결론 :
우리는 이 캠페인을 '은밀한 접근 작전(Operation Covert Access)'이라고 명명했는데, 이는 특정 악성코드 계열이나 도구에 의존하는 것이 아니라 사법 분야 환경 내에서 은밀한 초기 접근과 지속적인 원격 제어에 중점을 둔다는 점을 반영한 것입니다.
'은밀한 접근 작전(Operation Covert Access)'은 사법 관련 주제를 이용한 스피어 피싱 공격에 악성 LNK 파일과 은밀한 원격 접속 트로이목마(RAT)를 결합하여 신뢰도가 높은 기관 환경에 장기간 접근 권한을 확보하는 방법을 보여줍니다. 이 캠페인은 지름길 실행 방식의 지속적인 효과를 강조하며, 사회공학적 침입 사슬에 대한 가시성 강화 및 방어 체계 구축의 필요성을 역설합니다.
Seqrite 적용 범위:
- 트로이 목마.50322.SL
- 트로이 목마.50321.SL
- 커버트RATCiR
IOC:
| 해시 | 성함 |
| dc802b8c117a48520a01c98c6c9587b5 | info/juicio-grunt-posting.pdf.lnk |
| 45f2a677b3bf994a8f771e611bb29f4f |
D:\auto_black_abuse\resources\unzipped\20251215_140518_2025-11-28\13adde53bd767d17108786bcc1bc0707c2411a40f11d67dfa9ba1a2c62cc5cf3.zip |
| 02f85c386f67fac09629ebe5684f7fa0 | 정보/건강 검진.bat |
| 976b6fce10456f0be6409ff724d7933b | \msedge_proxy.exe |
| 233a9dbcfe4ae348c0c7f4c2defd1ea5 | 정보/노트.pdf |
| C2 |
| 181.231.253.69:4444 |
미터 공격:
| 단계 | 기술명 | 기술 ID |
| 초기 액세스 | 스피어 피싱 첨부 파일 | T1566.001 |
| 사용자 실행: 악성 파일 | T1204.002 | |
| 이메일을 통해 보관 | T1566.001 | |
| 실행 | 윈도우 명령 셸 | T1059.003 |
| PowerShell을 | T1059.001 | |
| 명령 줄 인터페이스 | T1059 | |
| 네이티브 API | T1106 | |
| 예약된 작업 실행 | T1053.005 | |
| 방어 회피 | 가장무도회 (LNK를 PDF로 저장) | T1036.004 |
| 위장 (정식 명칭 또는 위치) | T1036.005 | |
| 숨겨진 창 | T1564.003 | |
| 난독화/인코딩된 명령어(Base64) | T1027 | |
| 파일 또는 정보의 난독화 해제/디코딩 | T1140 | |
| 실행 정책 우회 | T1562.001 | |
| 레지스트리 수정 | T1112 | |
| 가상화/샌드박스 회피 | T1497 | |
| 가상화/샌드박스 회피: 시스템 검사 | T1497.001 | |
| 가상화/샌드박스 회피: 사용자 활동 검사 | T1497.002 | |
| 디버거 회피 | T1622 | |
| 호스트에서 표시기 제거 | T1070 | |
| 발견 | 시스템 정보 검색 | T1082 |
| 계정 검색 | T1087 | |
| 프로세스 발견 | T1057 | |
| 레지스트리 검색 | T1012 | |
| 파일 및 디렉토리 검색 | T1083 | |
| 소프트웨어 검색 | T1518 | |
| 권한 그룹 검색 | T1069 | |
| 자격 증명 액세스 | 암호 저장소의 자격 증명 | T1555 |
| OS 자격 증명 덤프 | T1003 | |
| 고집 | 레지스트리 실행 키/시작 폴더 | T1547.001 |
| 예약된 작업/업무 | T1053.005 | |
| 부팅 또는 로그온 자동 시작 실행 | T1547 | |
| WMI 이벤트 구독 | T1546.003 | |
| 명령 및 제어 | 애플리케이션 계층 프로토콜 | T1071 |
| 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 | |
| 암호화된 채널 | T1573 | |
| 암호화된 채널: 대칭 암호화 | T1573.001 | |
| 난독화/인코딩된 채널 | T1132 | |
| 대체 채널 | T1008 | |
| 비표준 포트 | T1571 | |
| 동적 해상도(IPv4/IPv6 파싱) | T1568 | |
| 인그레스 도구 전송 | T1105 | |
| 수집 | 로컬 시스템의 데이터 | T1005 |
| 수집된 데이터 아카이브 | T1560 | |
| 입력 캡처 | T1056 | |
| 화면 캡처 | T1113 | |
| 여과 | C2 채널을 통한 유출 | T1041 |
| 암호화된 채널을 통한 데이터 유출 | T1041 | |
| 영향 | 영향력 증대를 위한 데이터 암호화 | T1486 |
| 시스템 복구 억제 | T1490 | |
| 측면 운동 | 원격 서비스 | T1021 |
저자 :
딕시트 판찰
소우멘 버마
카르틱 지바니
