Operation DualScript – 암호화폐 및 금융 활동을 표적으로 삼는 다단계 PowerShell 악성코드 공격 캠페인
개요
조사 과정에서 우리는 스케줄러 작업을 이용한 지속성, VBScript 실행기, 그리고 PowerShell 기반 실행을 악용하는 다단계 악성코드 감염을 확인했습니다. 이 공격은 두 개의 병렬 체인을 통해 작동하는데, 첫 번째는 원격 페이로드를 가져오는 웹 기반 PowerShell 로더이고, 두 번째는 RetroRAT 임플란트를 실행하는 PowerShell 로더 체인입니다.
공격자들은 정상적인 Windows 구성 요소를 악용하고 페이로드를 메모리에서 직접 실행함으로써 디스크 흔적을 최소화하고 기존 탐지 메커니즘을 회피합니다.
초기 발견
이번 조사는 사용자가 접근 가능한 디렉터리에서 VBScript 파일을 실행하는 의심스러운 예약 작업이 발견된 후 시작되었습니다. 해당 작업은 숨겨진 PowerShell 명령을 실행하도록 구성되어 있었으며, 이는 지속성을 위해 Windows 기본 스크립팅 구성 요소를 악용할 가능성을 시사합니다.
추가 조사 결과 다음과 같은 여러 의심스러운 유물이 발견되었습니다.
- VBScript 실행 프로그램이 실행 정책 우회를 사용하여 PowerShell을 호출합니다.
- 외부 도메인에서 원격 콘텐츠를 다운로드하고 실행하는 PowerShell 스크립트(ppamproServiceZuneWAL.ps1)
- 악성 페이로드를 메모리에서 직접 실행하는 데 사용되는 추가 PowerShell 스크립트
Wallet.txt를 호스팅하는 원격 웹 리소스에 대한 외부 연결을 통해 외부 서버에서 활성 명령을 가져오는 것이 확인되었으며, 이는 원격 명령 실행 기능을 나타냅니다.
이러한 조사 결과는 웹을 통해 전달되는 페이로드와 메모리 내 PowerShell 실행 기법을 활용한 지속적인 다단계 침해 공격이 존재함을 확인시켜 주었습니다.
감염 사슬 개요
이번 공격은 Windows 예약 작업을 통해 확보된 지속성을 이용해 두 개의 병렬 실행 체인을 통해 이루어집니다. 두 체인 모두 VBScript 실행기와 PowerShell 실행을 활용하여 디스크 흔적을 최소화하면서 악성 구성 요소를 배포합니다.
첫 번째 공격 경로는 원격 PowerShell 페이로드를 검색하고 실행하여 암호화폐 클립보드 하이재킹을 수행합니다. 두 번째 공격 경로는 VBScript 실행기(PiceVid.vbs)를 사용하여 PowerShell 기반 페이로드(PiceVid.ps1)를 실행하고, 시스템 모니터링, 금융 활동 추적 및 원격 명령 실행을 위한 RetroRAT 멀웨어를 배포합니다.
체인 1 – 웹 백도어 구성 요소
예약된 작업 지속성
사용자가 쓰기 가능한 디렉터리에서 VBScript 파일을 실행하도록 구성된 Windows 예약 작업을 통해 지속적인 접근이 가능해졌습니다. 이러한 작업은 실행 정책 우회가 활성화된 숨김 모드로 PowerShell을 호출합니다.
이를 통해 기존의 시작 레지스트리 메커니즘을 사용하지 않고도 악성 실행 체인을 안정적으로 재실행할 수 있습니다.
VBS 실행기 – ppamproServiceZuneWAL.vbs
이 스크립트는 실행 중간자 역할을 하며, PowerShell을 조용히 실행합니다. 스크립트 자체에는 페이로드가 포함되어 있지 않지만, 원격 로더 체인에 대한 제어된 진입점 역할을 합니다.
원격 로더 – ppamproServiceZuneWAL.ps1
이 스크립트는 웹 기반 백도어 역할을 하며 다음과 같은 작업을 수행합니다.
- WMI 프로세스 열거를 통한 단일 인스턴스 유효성 검사
- 원격 스크립트(Wallet.txt)의 HTTP 검색
- [ScriptBlock]::Create().Invoke()를 사용한 동적 실행
원격 페이로드는 메모리에서 완전히 실행됩니다. 콘텐츠가 외부에 호스팅되므로 동적으로 업데이트될 수 있어 공격자가 지속적으로 제어할 수 있습니다.
The ppamproServiceZuneWAL.ps1 스크립트는 다음과 같은 역할을 합니다. PowerShell 기반 원격 로더 및 실행 컨트롤러처음에 스크립트는 `$MyInvocation` 객체를 사용하여 자체 스크립트 이름을 가져온 다음, `CURRENT-instance`라는 함수를 실행합니다. 이 함수는 WMI를 통해 실행 중인 모든 `powershell.exe` 프로세스를 확인하여 동일한 스크립트의 다른 인스턴스가 이미 실행 중인지 여부를 판단합니다. 중복 인스턴스가 감지되면 스크립트는 여러 개의 동시 실행을 방지하기 위해 종료됩니다. 단일 인스턴스 실행이 확인되면 스크립트는 .NET 네트워킹 라이브러리인 `System.Net.Http`를 로드하고 `HttpClient`를 사용하여 원격 콘텐츠를 다운로드합니다. hxxps://anycourse[.]net/wp-content/uploads/2025/04/Wallet[.]txt탈취된 Wallet.txt 파일에는 공격자가 제어하는 PowerShell 명령이 포함되어 있습니다. 스크립트는 이 내용을 디스크에 저장하는 대신, [ScriptBlock]::Create()를 사용하여 다운로드한 텍스트를 실행 가능한 PowerShell 코드로 동적으로 변환하고 메모리에서 직접 실행합니다. 이 메커니즘은 스크립트를 효과적으로 PowerShell 스크립트로 변환합니다. 공격자가 웹 기반 백도어를 사용하여 시스템의 내용을 수정하는 것만으로 원격으로 시스템을 업데이트하고 명령을 실행할 수 있습니다. 서버에 있는 Wallet.txt 파일입니다.
웹 페이로드 – Wallet.txt
다운로드한 파일에는 외부 서버에서 전달된 PowerShell 명령어가 포함되어 있습니다.
이를 통해 공격자는 다음과 같은 작업을 수행할 수 있습니다.
- 명령을 실행하세요
- 구성 요소를 업데이트하거나 재배포하세요.
- 정찰을 실행하세요
- 데이터 추출
이 메커니즘은 손상된 시스템을 원격으로 제어되는 PowerShell 임플란트로 효과적으로 변환합니다.
지갑.txt 포함 PowerShell 클립보드 탈취 스크립트 이 스크립트는 암호화폐 거래를 훔치도록 설계되었습니다. 시스템 클립보드를 지속적으로 모니터링하여 복사된 텍스트를 찾고, 정규 표현식 패턴을 사용하여 비트코인이나 기타 암호화폐 지갑 주소를 감지합니다. 일치하는 주소가 발견되면 스크립트는 복사된 지갑 주소를 내부 사전(딕셔너리)에 저장된 공격자가 제어하는 주소로 바꿉니다. 결과적으로 피해자가 암호화폐를 전송하기 위해 정상적인 지갑 주소를 복사하면 클립보드가 몰래 수정되어 자금이 공격자의 지갑으로 이체됩니다. 스크립트는 정기적으로 클립보드를 모니터링하므로 공격자는 이를 통해 거래를 훔칠 수 있습니다. 암호화폐 결제를 은밀하게 가로채고 다른 곳으로 전용합니다. 해킹당한 시스템에서.
공격자가 제어하는 암호화폐 지갑 주소
The 지갑.txt 이 악성코드의 페이로드는 공격자가 제어하는 암호화폐 지갑 주소 목록을 유지합니다. 클립보드에서 일치하는 지갑 형식이 감지되면, 피해자의 주소를 해당 공격자 제어 지갑 주소로 대체합니다.
대체 주소는 다음을 포함한 여러 암호화폐를 지원합니다.
비트코인(BTC), 라이트코인(LTC), 이더리움(ETH), 모네로(XMR), XRP, NEO, 비트코인 캐시(BCH), 도지코인(DOGE), 대시, 스텔라(XLM), 바이낸스 코인(BNB), 테조스(XTZ), 트론(TRX), 비체인(VET), 디지바이트(DGB), 퀀텀, 카르다노(ADA), 폴카닷(DOT), 코스모스 (ATOM), Lisk, Kava, Algorand(ALGO), Filecoin(FIL), Nano, NEM, Waves, Zcash(ZEC), Terra 및 THORChain(RUNE).
체인 2 – PowerShell 로더 구성 요소
VBS 런처 – PiceVid.vbs
이 스크립트는 로컬 로더 체인의 진입점 역할을 하는 PieceVid.ps1의 실행을 트리거하며 예약된 작업을 통해 실행됩니다.
PowerShell 로더 – PiceVid.PS1
이 스크립트는 RetroRAT 페이로드를 포함하고 있으며 메모리에서 직접 실행됩니다.
스크립트는 페이로드를 별도의 실행 파일에 쓰는 대신, 해당 파일의 내용을 읽어 동적으로 실행합니다. Invoke-Expression(IEx).
이러한 접근 방식을 통해 공격자는 디스크에 탐지 가능한 흔적을 최소화하면서 악성코드를 실행할 수 있습니다.
분석 중에 식별된 메모리 내 페이로드는 다음과 같습니다. 레트로랫금융 활동과 관련된 원격 접속 트로이목마 미국 은행 기관 및 암호화폐 플랫폼해당 악성 소프트웨어는 사용자 활동을 모니터링하고, 키 입력을 캡처하며, 민감한 정보를 수집하기 위해 금융 서비스와의 상호 작용을 선택적으로 추적합니다.
페이로드 분석 – RetroRAT
분석된 악성코드인 RetroRAT은 암호화폐 및 금융 관련 활동을 노리는 금전적 이득을 목적으로 하는 원격 접속 트로이목마(RAT)입니다. 이 악성코드는 전역 키보드 후크를 설치하고 활성화된 창 제목에서 금융 애플리케이션이나 자주 접속하는 은행 또는 암호화폐 플랫폼과 관련된 키워드를 지속적으로 감시합니다. 모듈형 아키텍처와 TCP 기반 명령 및 제어(C2) 통신 채널을 통해 공격자는 원격 명령을 실행하고, 파일을 조작하고, 클립보드 데이터에 접근하고, 추가 어셈블리를 메모리에 직접 동적으로 로드할 수 있습니다.
방어 회피 및 분석 방지 기술
해당 샘플은 샌드박스, 가상 머신, 자동화된 악성코드 분석 시스템과 같은 분석 환경에서 탐지를 피하고 실행을 제한하기 위해 여러 가지 분석 방지 및 방어 회피 기술을 구현합니다.
– 샌드박스 회피 검사
샘플에는 "John Doe", "virus", "test user", "sand box" 등과 같은 알려진 사용자 이름을 포함하여 일반적인 샌드박스 및 분석 환경 식별자 목록이 하드코딩되어 있습니다.
실행 중에 이러한 값들은 시스템 속성과 비교되어 잠재적인 분석 환경을 탐지합니다. 일치하는 부분이 발견되면 악성 프로그램은 회피 메커니즘으로 추정되는 동작 방식을 변경합니다.
– 가상 머신 감지
악성 프로그램은 가상 머신 디렉터리, 드라이버 및 관련 서비스를 조회하여 가상 머신에서 실행 중인지 여부를 확인합니다. 흔적이 발견되면 자동으로 종료됩니다.
– 모호함의 사용
해당 페이로드는 기본적이지만 효과적인 난독화 기법을 광범위하게 사용합니다. 메서드 및 클래스 이름은 의도적으로 변경되었으며, 여러 식별자에는 유니코드 제어 문자가 포함되어 있어 디컴파일러 내부에서 깨져 보이는 것처럼 나타납니다. 또한, 대부분의 의미 있는 문자열은 인코딩되어 저장되고 런타임에 재구성됩니다. 이는 직접적인 정적 분석을 불가능하게 하고 분석가가 값을 동적으로 관찰하도록 강제합니다. de4dot을 사용하여 바이너리의 난독화를 부분적으로 해제하고 읽기 쉬운 메서드 이름을 복원할 수 있었습니다.
뮤텍스 사용
실행 초기에 바이너리는 명명된 뮤텍스가 시스템에 이미 존재하는지 확인합니다. 만약 존재한다면, 악성코드는 Environment.Exit(0)을 사용하여 즉시 실행을 종료합니다. 이 기법은 악성코드가 시스템을 재감염시키는 것을 방지하기 위해 흔히 사용됩니다.
멀티스레드 실행
이 악성 프로그램은 여러 개의 작업자 스레드를 생성하여 기능의 다양한 구성 요소를 병렬로 실행합니다. 이러한 설계 덕분에 악성 프로그램은 명령 및 제어 통신이나 데이터 처리와 같은 다른 작업을 방해하지 않고 지속적인 모니터링 및 백그라운드 활동을 유지할 수 있습니다.
– 스레드 1 – 키보드 이벤트 가로채기 루프
- 새로운 스레드(new ThreadStart(GClass25.smethod_1)).Start();
이 악성 프로그램은 SetWindowsHookExA()를 사용하여 키보드 가로채기를 처리하는 별도의 실행 스레드를 생성합니다. 이 루틴 내에서 저수준(WH_KEYBOARD_LL) 후크가 등록되어 악성 프로그램이 저수준 키보드 입력을 모니터링할 수 있게 됩니다.
후킹이 설치되면 스레드는 Application.Run()을 사용하여 즉시 메시지 루프에 진입합니다. 이렇게 하면 후킹이 프로세스 수명 동안 활성 상태로 유지되어 악성 프로그램이 키 입력을 지속적으로 캡처할 수 있습니다.
훅 콜백 내부에서 악성코드는 가로챈 메시지가 키 입력 이벤트에 해당하는지 확인합니다. 조건은 다음과 같습니다. 만약 (int_2 >= 0 && intptr_1 == (IntPtr)256) 이는 후크가 유효한 키 입력 이벤트만 처리하도록 보장합니다. 값 256은 Windows의 WM_KEYDOWN 메시지에 해당하며, 키가 눌렸을 때만 코드가 실행됨을 의미합니다.
이 스레드의 끝에서 악성 프로그램은 UnhookWindowsHookEx()를 호출하여 이전에 설치된 키보드 후크를 제거합니다. 이를 통해 악성 프로그램이 종료될 때까지 지속적인 키 입력 모니터링이 가능해집니다.
-두 번째 주제 – 미국 은행 및 암호화폐 서비스에 대한 키워드 기반 모니터링
- 새로운 스레드(new ThreadStart(GClass11.smethod_0)).Start();
키보드 이벤트를 가로채는 스레드 1 외에도, 이 악성 프로그램은 사용자의 금융 활동과 관련된 런타임 검사를 독립적으로 처리하는 추가 스레드를 실행합니다.
먼저, 모니터링 결과를 저장하는 데 사용될 로그 파일의 디렉터리와 파일 이름을 준비하고 초기화합니다. 여기서는 암호화폐 관련 활동용 파일("crypto_results.txt")과 은행 관련 활동용 파일("banks_results.txt"), 이렇게 두 개의 별도 파일을 초기화합니다. 이 파일들은 사용자의 %localappdata% 디렉터리에 저장됩니다.
다음으로, 악성코드는 "array"와 "array2"라는 이름의 문자열 배열 두 개를 초기화합니다. 이 배열들의 값은 내부 디코딩 루틴을 통해 런타임에 동적으로 재구성됩니다. 이 기법은 정적 검사에서 의미 있는 키워드를 숨기면서도 악성코드가 실행 중에 해당 키워드를 사용할 수 있도록 합니다.
첫 번째 배열(array)에는 coinbase, blockchain, bitcoin 등의 플랫폼을 포함하여 암호화폐 관련 키워드 47개(0x2F)가 들어 있습니다. 두 번째 배열(array2)에는 bankofamerica, wellsfargo, chime, paypal 등을 포함하여 금융 기관 및 결제 서비스와 관련된 키워드 51개(0x33)가 들어 있습니다.
array2의 키워드를 자세히 살펴보면 악성코드 제작자가 주요 국립은행, 지역 금융기관, 디지털 뱅킹 플랫폼 및 널리 사용되는 온라인 결제 서비스를 포함한 미국 금융 생태계에 집중했음을 알 수 있습니다.
은행 및 암호화폐 중심 모니터링 루프
키워드 목록과 결과 파일을 초기화한 후, 악성 프로그램은 사용자의 금융 서비스 이용 내역을 추적하도록 설계된 지속적인 모니터링 루프에 진입합니다.
이전에 생성된 결과 파일에 대해 두 개의 HashSet 객체가 생성되므로 악성 프로그램은 중복 로깅을 방지하고 이미 식별된 일치 항목 기록을 유지할 수 있습니다.
악성 프로그램은 무한 루프 안에서 현재 활성화된 창의 제목을 반복적으로 가져옵니다.
캡처된 텍스트는 .ToLower() 함수를 사용하여 정규화된 후 암호화폐 플랫폼 및 금융 관련 서비스가 포함된 사전 정의된 키워드 목록과 비교됩니다. 일치하는 항목이 발견되었지만 이전에 기록되지 않은 경우, 해당 키워드는 File.AppendAllText() 함수를 사용하여 전용 결과 파일에 기록됩니다. 또한, 악성 프로그램은 해당 세션과 관련된 후속 키 입력을 캡처하고 기록하여 금융 활동과 관련된 잠재적으로 민감한 사용자 입력을 수집할 수 있습니다.
이러한 논리는 전경 사용자 활동을 특정 금융 키워드와 효과적으로 연결하여, 악성 프로그램이 모든 활동을 무차별적으로 기록하는 것이 아니라 은행 서비스, 결제 플랫폼 또는 암호화폐 서비스와 관련된 세션을 선택적으로 모니터링함을 나타냅니다.
C2 연결 및 데이터 유출
smethod_5() 메서드는 악성코드의 주요 명령 및 제어(C2) 통신 루틴을 구현합니다. 이 루틴은 미리 정의된 원격 서버와의 네트워크 연결을 지속적으로 시도하고 활성 통신 채널의 수명 주기를 관리합니다. 연결이 성공적으로 설정되면 이 루틴은 원격 서버와의 추가적인 상호 작용을 가능하게 하여 데이터 교환 및 원격 제어의 기반을 마련합니다.
처음에 바이너리는 하드코딩된 도메인 목록(Class15.string_0)과 관련 포트 목록(Class15.int_0)을 순회합니다.
각 도메인-포트 조합에 대해 TcpClient 객체가 생성됩니다. TCP 연결이 설정되면 원격 서버가 예상 식별자로 응답하는지 확인하는 핸드셰이크 검사 역할을 하는 유효성 검사 루틴(smethod_6)이 실행됩니다.
샘플에서 확인된 식별자는 "RETRO-OK-2025"라는 문자열입니다. 이 유효성 검사에 실패한 연결은 즉시 종료되고 다음 후보 서버를 시도합니다.
C2 검증이 성공적으로 완료되면 악성 프로그램은 RAT 기능을 활성화하여 로컬 결과 파일에 저장된 캡처된 키 입력 데이터를 주기적으로 수집하고 이를 C2 서버로 전송합니다.
악성 프로그램은 File.ReadAllText()를 사용하여 결과 파일에서 수집된 키 입력 데이터를 읽습니다. 탈취된 데이터는 피해자 식별 정보와 결합되어 내부 패킷 생성 루틴(GClass10)을 사용하여 구조화된 메시지로 패키징됩니다. 그런 다음 메시지는 활성 TCP 통신 채널(GClass12)을 통해 C2 서버로 전송되며, 전송 전에 페이로드가 암호화됩니다.
이 메커니즘을 통해 악성 소프트웨어는 민감한 사용자 입력을 안정적으로 수집하여 원격 C2 인프라로 전송할 수 있으며, 공격자는 이를 통해 손상된 시스템에서 금융 정보 및 자격 증명 관련 정보를 탈취할 수 있습니다.
RAT 모듈
원격 접속 트로이목마인 이 악성코드는 다양한 원격 제어 기능을 지원합니다. C2 서버에서 수신된 명령은 switch 문으로 구현된 중앙 집중식 디스패처를 통해 처리되며, 이 디스패처는 GEnum1 열거형에 정의된 명령 식별자를 평가하고 해당 기능을 호출합니다.
명령 값에 따라 원격 데스크톱 모니터링, 파일 시스템 조작, 명령 실행 및 시스템 제어와 같은 작업을 수행하기 위해 다양한 모듈이 호출됩니다.
이 RAT 기능은 공격자가 금융 데이터 탈취 외에도 감염된 시스템을 대화형으로 모니터링하고 제어할 수 있도록 합니다.
RAT 명령 기능
| 능력 | 동작 |
| 원격 데스크톱/화면 모니터링 | 화면 캡처 시작/중지 및 원격 데스크톱 스트리밍 설정 |
| 파일 관리자 작업 | 디렉토리 탐색, 파일 업로드/다운로드, 파일 시스템 관리 |
| 프로세스/시스템 모니터링 | 프로세스를 열거하고, 시스템 정보를 수집하고, 작업을 관리합니다. |
| 명령 실행 | 감염된 시스템에서 명령이나 프로그램을 실행합니다. |
| 시스템 제어 | 시스템을 종료/재부팅하거나 악성코드 클라이언트를 종료하십시오. |
| 메모리/고급 연산 | 메모리 또는 프로세스 조작 작업을 수행합니다. |
타겟 금융 키워드
| CryptoCurrency | |||
| coinbase | metamask | 비트 바이커 | poloniex |
| blockchain | trustwallet | 비트 | 프로 비트 |
| 자유 숭배 | bitpay | 문 | hitbtc |
| 지갑 | 억센 | 일치 체크 | 메르카톡스 |
| 비트 코인 | localbitcoins | 데리 빗 | 핫 비트 |
| btc | 암호화는 | 작은 조각 | digifinex |
| 빈스 | 비트 피닉스 | 비트 마트 | 비트 뱅크 |
| 크라켄 | bitstamp | exmo | 루노 |
| etoro | 오케이 | 비트 판다 | 쌍둥이 자리 |
| 코 닝코 | 비트 | 액체 | 비트 |
| coinmarketcap | 쿠코 인 | 코인 메트로 | 동전 호랑이 |
| 거래 내역 | huobi | bittrex | |
| 금융기관/결제 플랫폼 | |||
| 뱅코 아메리카 | 피프스서드뱅크 | 퍼스트리퍼블릭 | 서리 둑 |
| 웰스파고 | Huntington | 자이언스뱅크 | ONB |
| 추적 | 동시성 | 상업은행 | 첫 번째 시민 |
| citibank | 키뱅크 | 서쪽 은행 | 센추리링크뱅크 |
| 우리은행 | 아메리칸 익스프레스 | 원파이낸스 | 윤활막 |
| Capitalone | 발견 | go2bank | 퍼스트호라이즌 |
| pnc | nbkc | 녹색점 | 이베이 |
| TD뱅크 | 소피 | 간편한 설치 | 페이팔 |
| 진실한 사람 | 차임 | 포부 | payeer |
| 동맹국 | 바로뱅크 | nbkc은행 | 아마존 |
| BBB | 악소스뱅크 | 깃발별 | 점검 |
| 선트러스트 | 시티즌스뱅크 | BMO | 지불 |
| 지역 | m&t뱅크 | 에버뱅크 | |
맺음말
Operation DualScript는 예약 작업, VBScript, PowerShell과 같은 정상적인 Windows 구성 요소를 악용하여 디스크 흔적을 최소화하면서 지속성을 유지하는 다단계 악성코드 캠페인입니다. 이 공격은 두 개의 병렬 체인을 통해 작동합니다. 첫 번째는 암호화폐 클립보드 하이재커를 배포하는 웹 기반 PowerShell 로더이고, 두 번째는 RetroRAT 임플란트를 메모리에서 직접 실행하는 두 번째 PowerShell 로더 체인입니다.
공격자들은 지갑 조작을 통한 금융 정보 탈취와 원격 접속 기능을 결합하여 표적 암호화폐 탈취와 지속적인 시스템 모니터링을 동시에 달성합니다. 이번 공격은 기존 탐지 메커니즘을 회피하기 위해 신뢰받는 시스템 유틸리티와 인메모리 실행 기법을 악용하는 사례가 증가하고 있음을 보여줍니다.
타협의 지표
파일 기반
| 인공물 | MD5 해시 | Detection System |
| 레트로랫 | 7546ada1e3144371724db209ba4c5f37 | 트로이목마.레트로RAT.S3882604 |
| 피스비드.ps1 | 173b27e7541427929da72ebf37c6db8e | 스크립트.레트로랫.50517.GC |
| 피스비드.vbs | 243af69d85550232da45f5a30703a4a3 | 스크립트.레트로랫.50517.GC |
| ppamproServiceZuneWAL.ps1 | 43cac07a501e7a717023e0fa8f6111e0 | 스크립트.트로이.49593.GC |
| ppamproServiceZuneWAL.vbs | 163c38bd7ff7dd27e88eaef1a7a4819f | Ps.Trojan.50374 |
| 지갑.txt | 1dc82fd02a0db3e338128b6f587d7122 | 스크립트.레트로랫.50517.GC |
네트워크 기반
| URL/도메인 | 카테고리 |
| 정보[.]1cooldns[.]com | Malware |
| floatsdk[.]1cooldns[.]com | Malware |
| 더파이럿베이[.]st | Malware |
마이터 매핑
| 술책 | 기술 | 기술 ID |
| 고집 | 예약된 작업/작업 | T1053.005 |
| 실행 | 명령 및 스크립팅 인터프리터: PowerShell | T1059.001 |
| 실행 | 명령 및 스크립팅 인터프리터: VBScript | T1059.005 |
| 방어 회피 | 난독화/압축된 파일 및 정보 | T1027 |
| 방어 회피 | 방어력 약화: 도구 비활성화 또는 수정(실행 정책 우회) | T1562.001 |
| 발견 | 프로세스 발견 | T1057 |
| 수집 | 입력 캡처: 키로깅 | T1056.001 |
| 수집 | 클립보드 데이터 | T1115 |
| 수집 | 화면 캡처 | T1113 |
| 자격 증명 액세스 | 입력 캡처 | T1056 |
| 명령 및 제어 | 응용 프로그램 계층 프로토콜(웹 프로토콜) | T1071 |
| 여과 | C2 채널을 통한 유출 | T1041 |
저자 :
니라즈 마카사레
프라실 문
라야파티 락슈미 프라산나 사이
