그리프루어 작전: 베트남 군 통신망과 필리핀 의료 시스템을 표적으로 삼은 APT 공격 분석

목차 :

• 소개 :
• 주요 목표:
• 감염 사슬:
• 캠페인에 대한 초기 조사 결과:
  • 미끼 분석:
• 기술적 분석 :
  • 캠페인-1:
    • 1단계: Ho so.rar
  • 캠페인: 2
    • 1단계: download.zip
  • 2단계: LNK 및 배치 파일 (1단계와 2단계 모두 공통)
  • 3단계: sfvc.exe 및 360.dll 분석
    • 2의 분석^nd
• 인프라 구조물 및 위협 행위자 식별.
• 결론: 왜 그리프루어 작전을 해야 하는가?
• Seqrite 적용 범위:
• IOC:
• 미터 공격:

소개 :

Seqrite Labs는 '스피어 피싱 캠페인'이라는 이름의 표적 공격을 발견했습니다. 그리프루어 작전이는 베트남 최대 통신사인 비엣텔 그룹의 고위 임원들을 겨냥한 것이었다. 국방부 & 세인트 루크스 메디컬 센터 케손 (필리핀) 탄화성 사이버범죄경찰의 수사관들과 함께 진행된 이번 공격은 이중으로 압축된 RAR 아카이브 안에 악성 Windows LNK 파일을 배포하는 방식으로 이루어졌으며, 네이티브 ftp.exe 실행 파일을 악용하여 엔드포인트 탐지를 회피하는 LotL(Living-off-the-Land) 드로퍼로 활용했습니다. 이 공격이 특히 위험한 이유는 미끼를 사용하는 방식 때문입니다. 공격자는 실제 문서를 생성하는 대신, 법적으로 민감한 8개의 실제 문서를 탈취했습니다.

이 캠페인의 핵심은 다음과 같습니다. Windows LNK 기반 드롭퍼 네이티브 ftp.exe 바이너리를 악용하는 것은 최소한의 포렌식 흔적만 남기고 대부분의 기존 엔드포인트 탐지를 우회하는 Living-off-the-Land(LotL) 기법입니다. 실행 시, 시간 기반 다형성 페이로드 조립 메커니즘 이 공격은 .doc 파일로 분할된 파일들로부터 완전한 악성코드인 sfsvc.exe를 디스크에 직접 구축한 후, 피해자가 실제처럼 보이는 위장 PDF 파일을 읽는 동안 조용히 실행됩니다. 전체 감염 과정은 10초 이내에 완료되며, 피해자는 어떠한 징후도 감지할 수 없습니다.

“가장 위험한 유혹은 피해자를 속여 거짓을 믿게 만드는 것이 아니라, 완전히 진실인 것을 보여주는 것이다.” - Seqrite 연구소 위협 연구팀.

이 보고서에서 Seqrite Labs는 Operation GriefLure에 대한 포괄적인 기술적 분석을 제공합니다. 여기에는 전체 감염 경로, 페이로드 조립 메커니즘, 미끼 문서 분석, 표적 프로파일링 및 원인 규명 지표가 포함됩니다.

주요 목표:

캠페인-1:

• 대상 국가: 베트남
• 대상 분야: 네트워크 및 통신

캠페인-2:

• 대상 국가: 필리핀
• 대상 분야: 의료 및 보건

감염 사슬:

캠페인에 대한 초기 조사 결과:

두 캠페인 모두 실제 직장인들의 책임감을 악용하고 표적 개인의 즉각적인 행동을 유도하기 위해 정교하게 제작된, 신뢰도가 매우 높은 가짜 문서를 활용했습니다. 첫 번째 사례에서는 공격자들이 비엣텔(Viettel)과 베트남 당국 간의 실제 분쟁에서 나온 법률 및 수사 자료를 사용하여 관련 임원과 사이버 범죄 수사관들에게 높은 관련성을 부여했습니다. 두 번째 사례에서는 조작되었지만 설득력 있는 내부 고발자 신고를 통해 세인트 루크 메디컬 센터(St. Luke's Medical Center)의 고위 직원들에게 심각한 규정 위반 및 재정 비리를 제기하여 압력을 가했습니다.

미끼 분석:

캠페인 1: 군사 통신 및 법 집행 (비엣텔 그룹(본사)))

악성 아카이브에 대한 초기 분석 과정에서, 베트남 시민과 베트남 통신 방어 회사인 비엣텔(Viettel) 간에 실제로 진행 중인 데이터 유출 사건에서 나온 진짜 법률 문서를 이용해 만든 8개의 위장 문서를 발견했습니다. 이 문서들은 공식 경찰 수사 보고서, 회사 서명 인정서, 내부 직원 이메일, 개인 의료 기록 등을 포함하며, 각각은 비엣텔 임원과 사이버 범죄 수사관 중 한 명의 직무상 의무를 악용하도록 선정되어 사건 관련자라면 누구든 직관적으로 진위 여부를 파악하기가 사실상 불가능하도록 만들어졌습니다.

이것은 주요 미끼 문서로, Viettel의 CEO에게 직접 작성된 공식적인 법적 조치 촉구 이메일입니다. 이 이메일은 4개월간 지속된 데이터 유출 분쟁을 요약하고 회사를 상대로 법적 조치를 취하겠다고 위협하는 내용을 담고 있습니다. LNK가 실행되면 이 이메일이 자동으로 열리므로, 피해자는 악성 프로그램이 백그라운드에서 조용히 실행되는 동안에도 계속해서 프로그램에 집중하게 됩니다.

피고인 비엣텔 직원 레 반 치엔이 지점 관리자에게 제출한 자필 서명 변호 진술서로, 개인정보 유출 사건에 대한 그의 입장을 상세히 설명하고 있다.

손으로 쓴 듯한 느낌과 공식적인 형식이 결합되어 매우 민감한 내부 인사 문서처럼 보이게 함으로써 전체적인 미끼 상품의 신뢰도를 크게 높입니다.

고객 Lê Thị Dung과 Viettel 고객 서비스 담당자 간의 이메일 교환 내역으로, 그녀의 개인정보 유출 관련 최초 불만 사항이 공식적으로 기록되어 있으며, 여기에는 주민등록번호 ****269와 전화번호 *******2308을 포함한 실제 개인 식별 정보가 담겨 있습니다.

비엣텔의 부사장인 황 티 투엣 마이가 서명한 데이터 유출에 대한 공식적인 서면 인정서는 이번 사건에서 법적으로 가장 중요한 문서로, 직원의 부정행위와 징계 조치를 명시적으로 확인하고 있습니다.

캠페인 2: 세인트 루크스 메디컬 센터(SLMC) 필리핀

캠페인 2에서 확인된 악성 문서 패키지에 대한 초기 분석 과정에서, 필리핀에서 가장 권위 있는 사립 병원 그룹 중 하나이자 국제 JCI 인증을 보유한 세인트 루크 메디컬 센터(SLMC)에 제출된 공식 내부 고발자 진정서를 가장한 주요 위장 문서 1건을 발견했습니다.

이 함정 문서는 SLMC의 글로벌 시티 및 퀘존 시티 지점의 의료 행정, 내부 감사 및 병원 규정 준수 담당자를 표적으로 삼기 위해 의도적으로 제작된 위조 문서인 것으로 보입니다.

캠페인 2의 미끼는 캠페인 1과는 근본적으로 다른 접근 방식을 취합니다. 실제 문서를 수집하는 대신, 위협 행위자는 세인트 루크 메디컬 센터의 내부 규정 준수 및 감사 체계를 겨냥한 매우 설득력 있는 내부 고발자 신고서를 작성했습니다. 이 문서는 1,500,000만 페소 규모의 사기, JCI 인증 취소 위협, 필헬스(PhilHealth) 규정 위반 등을 언급하며 병원 경영진의 즉각적인 조치를 유도하도록 정교하게 설계되었습니다. data privacy 위반.

기술적 분석 :

두 캠페인의 RAR 압축 파일을 다운로드한 결과, 각 파일에는 PDF 위장 문서와 LNK 파일이 혼합되어 있는 것을 확인했으며, 이를 자세히 분석했습니다. 분석은 두 캠페인을 여러 단계로 나누어 진행하여 결과를 명확하게 제시했습니다. 특히 3단계는 두 캠페인 모두에 공통으로 적용되며, 여기서는 사용된 DLL 사이드 로딩 기법을 심층적으로 분석합니다.

캠페인: 1

1단계: (Ho so.rar)

1단계에서 우리는 스피어피싱 이메일을 통해 전달된 RAR 압축 파일을 확보했습니다. "Ho so.rar"이라는 이름의 이 파일에는 다음과 같은 항목들이 포함되어 있습니다.

1단계에서 기본 압축 파일인 "Ho so.rar"을 분석하는 동안 위 스냅샷에 표시된 것처럼 "라는 이름의 보조 RAR 압축 파일을 확인했습니다.PL8_호소방청 KH 둥 thu thap.rar.이 중첩 아카이브 외에도 패키지에는 위 섹션에서 자세히 설명한 7개의 PDF 위장 문서가 포함되어 있습니다.

또한, 중첩된 형태로 사용된 두 번째 RAR 파일을 확인한 결과, 다음과 같은 파일과 폴더가 포함되어 있습니다.

아카이브에는 "HỒ Sτ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP DHOÀN VIETTEL.lnk"라는 LNK 파일이 하나 포함되어 있습니다. 또한 미끼 문서 생성 시 뒷받침 증거로 사용될 가능성이 있는 세 개의 이미지 파일도 포함되어 있습니다.

이 압축 파일 안에는 위에 "_"로 표시된 폴더가 하나 있고, 그 폴더 안에 아래와 같은 하위 폴더들이 있습니다..

각각 별도의 세부 정보와 파일이 있으므로, 해당 사항들을 자세히 확인한 결과,

_rels:

문서:

또한 해당 아카이브에는 공격자가 공격의 후속 단계에서 활용하는 배치 파일이 포함되어 있습니다.

캠페인: 2

앞서 언급했듯이, 캠페인 2는 특히 필리핀의 세인트 루크 의료 센터(SLMC)를 표적으로 삼습니다. 이 경우 스피어 피싱 이메일은 "download.zip"이라는 이름의 ZIP 압축 파일을 전송합니다.

1단계: download.zip

_rels:

문서:

1단계는 스피어 피싱 이메일을 통해 전송된 download.zip 압축 파일 분석으로 시작됩니다. 압축을 풀면 Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026이라는 구조화된 폴더가 나타나는데, 이는 합법적이고 수사 목적으로 위장되어 있습니다. 폴더 안에는 미끼 문서, 관련 디렉터리(doc 및 _rels), 그리고 의심스러운 배치 파일 등 여러 구성 요소가 있습니다. 이러한 요소들의 존재는 미끼 PDF가 유인책으로 사용되고 숨겨진 스크립트가 백그라운드에서 악성 행위를 실행하는 단계적 실행 흐름을 시사합니다. 이러한 구조는 사회공학적 기법과 기술적 기법을 결합한 의도적인 공격을 강력하게 시사합니다.

2단계: LNK 및 배치 파일 (1단계와 2단계 모두 공통)

콘텐츠는 동일하지만 파일 이름만 다른 두 개의 LNK 파일을 식별했습니다. "HỒ Sτ BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP Don VIETTEL.lnk" 및 “Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026/Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf.lnk.”

두 캠페인 모두 동일한 LNK 실행 로직을 사용합니다. LNK 파일은 Windows의 기본 ftp.exe 바이너리를 악용하여 -s 플래그를 통해 숨겨진 스크립트를 조용히 실행합니다. 이 스크립트는 C:\Users\Public 폴더에 분할된 파일들을 조합하여 악성코드 페이로드를 실행하고, 동시에 1.pdf 파일을 미끼로 열어 피해자가 전혀 눈치채지 못하게 합니다. 전체 감염 과정은 화면에 아무런 표시도 없이 10초 이내에 완료됩니다.

캠페인: 1

캠페인:2

두 캠페인 모두 배치 기반 페이로드 조립 프레임워크를 공유하며, 이는 단일 위협 행위자가 베트남과 필리핀 전역에서 동시에 모듈형 공격 인프라를 운영하고 있음을 확인시켜 줍니다.

두 방식 모두 핵심 메커니즘은 동일합니다. .doc 파일로 위장한 바이너리 덩어리가 추출되고, 시간 기반 다형성 선택을 통해 페이로드 해시가 무작위화됩니다. sfsvc.exe 표적 맞춤형 미끼 PDF가 피해자의 주의를 분산시키는 동안 조용히 조립되고 실행됩니다.

두 캠페인 간의 유일한 의미 있는 차이점은 미끼 문서의 이름입니다. 캠페인 1에서는 일반적인 1.pdf라는 이름을 사용한 반면, 캠페인 2에서는 Whistleblowing_Report_SLMC_Fraud_and_Misconduct_2026.pdf라는 정확한 이름을 사용했습니다. 이는 위협 행위자가 진화하고 점점 더 정교해지면서 대상에 따라 미끼의 표현 방식을 맞춤화한다는 것을 시사합니다.

이 배치 스크립트는 바이너리 파일 연결 기법을 사용하여 런타임에 완전한 기능을 갖춘 PE 실행 파일을 재구성합니다. 이 기법은 header.doc(MZ/PE 헤더 포함) 파일을 다음과 결합합니다. WindowsSecurity.doc (본문 코드)는 Windows의 기본 copy /b 명령을 사용하여 sfsvc.exe(162KB)를 생성하고, 동일한 PE 헤더를 시간 선택 다형성 청크(%TIME:~4,1%.doc) 및 추가된 %RANDOM% 값과 별도로 병합하여 매 실행마다 고유한 해시 값을 갖는 360.dll 로더를 생성합니다.

이러한 런타임 어셈블리 방식은 RAR 아카이브 내부에 실행 파일(EXE)이나 병렬 처리 파일(DLL)이 전혀 존재하지 않고, 겉보기에는 무해해 보이는 .doc 파일 조각들만 완전히 저장된다는 것을 의미합니다. 정적 아카이브 스캔 및 시그니처 기반 탐지 회피마지막으로 sfsvc.exe는 DllRegisterServer 진입점을 통해 최소화된 상태로 실행됩니다. 360.dll조립된 페이로드 파일이 있는 동안 임플란트를 활성화합니다. C:\Users\Public\Update\ 간단한 포렌식 검사만으로는 일반적인 Windows 서비스 구성 요소로만 보일 수 있습니다.

3단계: sfsvc.exe 및 360.dll 분석

sfsvc.exe 알고 보니 그것은 목적에 맞게 설계된 실행 프레임워크 은밀하고 유연하게 악성 DLL을 로드하고 실행하도록 설계되었습니다.

우리는 해당 프로그램이 명령어를 사용하여 악성 360.dll 파일을 실행하는 것을 발견했습니다.

cmd.exe /C start /min C:\Users\Public\Update\sfsvc.exe /calldll 360.%TIME:~4,1%.dll DllRegisterServer >nul

코드를 살펴보니 sfsvc.exe가 다음과 같은 것을 발견했습니다. 사용자 정의 재구현 regsvr32.exe추가 기능이 탑재되어 확장되었습니다.

sfsvc.exe 모듈식이며 여러 작업을 지원합니다.

Command	목적
/calldll	DLL 내보내기 실행
/u	DLL 등록 해제
/s	무음 모드
/탐색기 재시작	다시 시작 탐색기
/runnonelevated	권한 해제
/addpath	PATH를 통한 지속성
/경로 제거	지속성을 제거합니다
/레지엠뮬레이션	레지스트리/브라우저 설정 변경
/checkwin10	OS 감지

내부적으로 이 악성코드는 여러 명령줄 옵션을 제공하여 DLL 내보내기 실행, 구성 요소 등록 또는 등록 해제, 지속성을 위한 시스템 경로 조작, Windows 셸 재시작, 심지어 실행 권한 조정까지 가능하게 합니다. 이러한 모듈식 설계는 이 악성코드가 일회성 페이로드라기보다는 더 광범위한 악성코드 생태계 내에서 재사용 가능한 툴킷 역할을 하도록 의도되었음을 강력하게 시사합니다.

탐색기 재시작 루틴/ Explorer 프로세스 하이재킹(탐색기 재시작  명령)

악성 프로그램은 먼저 Progman, Shell_TrayWnd, CabinetWClass, WorkerW(소프트 킬)와 같은 핵심 데스크톱 구성 요소에 종료 및 닫기 메시지를 전송하여 사용자 인터페이스를 불안정하게 만든 다음, 프로세스를 강제로 열거하여 찾아 종료합니다. Explorer.exe에서 OpenProcess 및 TerminateProcess(하드 킬)를 통해 전체 액세스 권한을 사용하여 셸이 완전히 제거되도록 한 다음, 오케스트레이터 기능이 시간 지연을 도입하고 셸을 복원하거나 교체하는 방법을 결정합니다. 복원 또는 교체는 셸을 다시 시작하는 방식으로 이루어질 수 있습니다. Explorer.exe에서 ShellExecuteW를 통해 사용자 지정 매개변수를 사용하거나 현재 프로세스 토큰을 복제하고 무결성 수준을 낮추는 고급 루틴을 호출하여 낮음(S-1-16-4096)그리고 CreateProcessAsUserW를 사용하여 Explorer를 다시 생성합니다. 이로 인해 데스크톱이 제한되고 제어된 보안 컨텍스트에서 재구축되므로 악성코드가 보이는 UI를 지우고 정상적인 복구를 방지하며 은밀성, 사용자 제한, 지속성 설정 또는 추가 페이로드 실행에 사용할 수 있는 조작된 셸 환경을 다시 도입할 수 있습니다.

 DLL 실행(calldll 명령)

이 프레임워크의 핵심에는 함수 내에 구현된 DLL 실행 엔진이 있습니다.

이 루틴은 간단하지만 강력한 일련의 작업을 수행합니다. LoadLibraryW를 사용하여 DLL을 메모리에 로드하고, GetProcAddress를 사용하여 함수 주소를 확인한 다음, 해당 함수를 직접 실행합니다. 실제로 이는 공격자가 임의의 DLL과 내보낸 함수(가장 일반적으로는 DllRegisterServer)를 제공하여 표준 시스템 도구에 의존하지 않고 실행할 수 있음을 의미합니다. 이러한 접근 방식은 regsvr32.exe의 필요성을 효과적으로 대체하여 해당 유틸리티를 특별히 모니터링하는 탐지 메커니즘을 우회할 수 있도록 합니다.

COM 스타일 등록 루틴

sfsvc.exe는 임의의 DLL 실행 외에도 정상적인 DLL 등록 워크플로와 매우 유사한 COM 스타일 등록 루틴(sub_402BC1)을 구현합니다. 이 함수는 지정된 DLL을 로드하고 제공된 인수에 따라 DllRegisterServer 또는 DllUnregisterServer를 호출하려고 시도합니다. 이는 겉보기에는 무해해 보일 수 있지만, 악의적인 상황에서는 공격자가 자신의 활동을 시스템의 예상 동작과 위장하여 보안 도구가 정상적인 DLL 작업과 악의적인 DLL 작업을 구분하기 어렵게 만듭니다.

360.dll 분석,  DLL 등록 서버(다단계 셸코드 로더 및 인젝터)

sfsvc.exe /calldll … DllRegisterServer를 통해 실행되는 360.dll은 일반적인 COM DLL이 아니라 다단계 셸코드 로더DllRegisterServer 내부 코드는 먼저 안티 분석 기법(쓸모없는 명령어, 예외 기반 검사)을 사용한 다음 자체 경로를 검색하여 2차 페이로드를 찾거나 유추합니다. 그런 다음 숨겨진 데이터를 처리하고 디코딩한 후 VirtualAlloc을 사용하여 실행 가능한 메모리를 할당하고 디코딩된 페이로드를 해당 메모리에 복사한 다음 즉시 메모리에서 실행합니다. 이는 전형적인 공격 방식입니다. 파일리스 실행 기법악성 코드가 디스크에 눈에 보이는 실행 파일을 남기지 않고 실행되므로 탐지가 더 어려워집니다.

이 초기 실행이 끝나면 DLL은 두 번째 단계로 넘어갑니다. 프로세스 주입이 악성코드는 explorer.exe의 새 인스턴스를 생성하고, 완전한 접근 권한으로 실행한 후, VirtualAllocEx를 사용하여 내부에 메모리를 할당하고, WriteProcessMemory를 통해 페이로드를 기록합니다. 그런 다음 CreateRemoteThread를 사용하여 페이로드를 원격으로 실행함으로써 악성 코드 실행을 신뢰할 수 있는 시스템 프로세스로 옮깁니다. 메모리 내 실행과 인젝션을 결합한 이러한 계층적 접근 방식은 특히 sfsvc.exe의 유연한 로더 기능과 결합될 때 악성코드가 은밀하고 지속적이며 탐지하기 어렵게 만듭니다.

2^nd 페이로드 :

sfsvc.exe와 360.dll을 분석한 결과, DllRegisterServer 모듈에서 복호화된 셸코드가 발견되었습니다.

따라서 LoadLibraryW와 GetProcAddress에 중단점을 추가하면 2를 해독할 수 있습니다.^nd 탑재물은 쥐입니다.

덤프된 페이로드를 분석한 결과, 분석 대상 프로그램은 다음과 같습니다. 모듈식 맬웨어 로더 이 악성 프로그램은 명령줄 인수에 따라 다양한 공격 기법을 실행하며, 파일 없는 실행, 프로세스 주입, 지속성 확보, 권한 상승 등 다목적 기능을 갖춘 악성코드입니다. 중앙 루틴(sub_402E00)을 통해 페이로드를 검색하거나 복호화하고, VirtualAlloc을 사용한 직접 메모리 실행(파일 없는 셸코드), QueueUserAPC를 사용한 일시 중단된 프로세스에 대한 APC 주입, CreateRemoteThread를 사용한 기존 원격 스레드 주입 등 여러 가지 방법으로 실행합니다. 또한, 페이로드를 XOR 복호화(^0x88)하여 C:\Users\Public\Update:2.dll과 같은 NTFS 대체 데이터 스트림 경로에 기록하는 드로퍼 루틴을 포함하고 있으며, 이 파일은 DllRegisterServer를 사용하여 실행됩니다.

더욱 주목할 만한 점은 이러한 디코딩 로직이 악성코드의 네트워크 통신 계층과 어떻게 연결되는지입니다. 네트워크 핸들러(sub_418030)는 원격 서버에서 지속적으로 데이터를 수신하고, 간단한 XOR 복호화(^0xBB)를 적용한 후, 명령이나 페이로드를 동적으로 처리합니다. 이는 완전한 명령 및 제어(C2) 워크플로를 시사합니다. 즉, 공격자로부터 데이터를 수신하고, 약간 난독화한 후 (sub_402E00과 같은 루틴을 통해) 디코딩하여 메모리에서 실행하는 것입니다. 이러한 설계 덕분에 악성코드는 디스크에 새로운 파일을 저장하지 않고도 유연성을 유지하고 동작을 업데이트할 수 있습니다.

난독화 및 HTTP 대체 기능을 사용한 C2 통신

이 악성코드 명령 및 제어(C2) 통신 루틴은 Windows WinHTTP API를 사용하여 네트워크 세션을 초기화하고, 하드코딩된 원격 서버(특히 www.whatsappcenter.com과 같은 정상적인 도메인으로 위장)에 연결한 후, HTTPS를 통해 HTTP 요청(대부분 POST 요청)을 구성하여 난독화된 페이로드를 전송합니다. 페이로드는 내부 루틴을 통해 생성된 후 정적 키(0xBB)로 XOR 암호화되는데, 이는 간단한 시그니처 기반 탐지를 회피하기 위해 악성코드에서 흔히 사용하는 경량 암호화 기법입니다. 데이터를 구조화된 요청 본문으로 패키징한 후, 해당 함수는 서버로 전송을 시도하고 응답을 기다립니다. 응답은 버퍼에 저장되며, 악성코드 내 다른 곳에서 추가 명령 실행에 사용될 가능성이 높습니다.

데이터 유출을 동반한 프로세스 열거 및 시스템 프로파일링

이 악성 프로그램은 시스템 정찰 및 데이터 유출 루틴으로 작동하며, 감염된 시스템에서 실행 중인 모든 프로세스를 열거하고 상세한 프로파일링 정보를 원격 엔드포인트로 전송하도록 설계되었습니다. 먼저 Toolhelp API(CreateToolhelp32Snapshot, Process32First, Process32Next)를 사용하여 모든 활성 프로세스의 스냅샷을 생성하고, 각 항목을 순회하면서 이전에 분석했던 sub_405790 함수를 호출하여 프로세스 소유자(도메인\사용자 이름), 전체 실행 파일 경로, 아키텍처(32비트 또는 64비트)와 같은 풍부한 메타데이터를 추출합니다. 각 프로세스에 대해 실행 파일 이름, 프로세스 ID 및 수집된 식별 정보를 포함하는 형식화된 문자열을 구성하고, 각 항목을 구분 기호로 구분하여 큰 집계 버퍼에 추가합니다.

chrome.exe,예약,2300,데스크톱\사용자,C:\Program Files\Chrome\chrome.exe,64?

svchost.exe,예약,888,NT AUTHORITY\SYSTEM,C:\Windows\System32\svchost.exe,64?

스크린샷 캡처 및 데이터 유출 루틴

이 악성코드는 완전한 데스크톱 캡처 및 데이터 유출 메커니즘을 구현하여 피해자의 화면을 캡처하고 이를 명령 및 제어(C2) 서버로 전송할 수 있습니다. 먼저 GetSystemMetrics 함수를 사용하여 화면 크기를 가져오고, 다중 모니터 환경의 경우 가상 화면 경계를 계산하여 고려합니다. 소켓 연결 여부에 따라 캡처 해상도를 전체 크기 또는 축소(3으로 나눔)하여 이미지 품질과 네트워크 대역폭 사이의 균형을 맞춥니다. 그런 다음 CreateCompatibleDC 함수를 사용하여 호환 장치 컨텍스트를 생성하고, BitBlt 함수를 사용하여 디스플레이 콘텐츠를 복사하고, 필요에 따라 StretchBlt 함수를 사용하여 크기를 줄여 화면을 캡처합니다. GetDIBits 함수를 사용하여 원시 픽셀 데이터를 버퍼에 추출하고, 메모리에서 비트맵 헤더와 픽셀 데이터를 조합하여 유효한 BMP 이미지를 수동으로 생성합니다.

디렉터리 목록 및 파일 메타데이터 유출 루틴

이 악성 프로그램은 디렉터리 정찰 및 파일 메타데이터 유출 기능을 구현하여 지정된 경로를 검사하고 그 내용을 명령 및 제어(C2) 서버로 보고할 수 있습니다. 먼저 제공된 경로가 디렉터리인지 확인한 후 FindFirstFileA / FindNextFileA 함수를 사용하여 해당 디렉터리의 내용을 열거합니다. 이 루틴은 두 단계로 작동합니다. 첫 번째 단계에서는 모든 하위 디렉터리("." 및 ".." 제외)를 식별하고 폴더 이름을 연결한 목록을 만듭니다. 두 번째 단계에서는 디렉터리 내 파일에 대한 자세한 정보를 수집하기 위해 다시 반복합니다. 각 파일에 대해 파일 이름, 최종 수정 시간(FileTimeToSystemTime 함수를 사용하여 읽기 쉬운 형식으로 변환), 파일 크기(킬로바이트 단위로 정규화)와 같은 속성을 추출하여 파일 이름|시간|크기(KB)와 같은 구조화된 형식으로 항목을 구성합니다.

Ex: document.txt|2026-05-04 10:22:31|12.45 KB

파일 분할 업로드 및 원격 실행 루틴

이 악성코드는 파일 업로드 핸들러와 조건부 실행 로직을 결합하여 원격 서버에서 파일 청크를 수신하고, 이를 로컬에서 재구성한 후 선택적으로 최종 페이로드를 실행할 수 있도록 합니다. 입력 구조체에서 대상 파일 경로, 청크 크기, 전체 크기, 현재 청크 인덱스 등 여러 매개변수를 파싱하고 업로드 진행률을 계산하여 보고합니다. 수신된 데이터는 내부 루틴(sub_402E00)을 통해 디코딩된 후, 해당 함수는 대상 파일을 열거나 생성하고 SetFilePointerEx 함수를 사용하여 올바른 오프셋에 청크를 기록합니다. 이를 통해 대용량 파일을 여러 부분으로 나누어 안정적으로 재구성할 수 있습니다. 쓰기 작업이 성공하면 구조화된 상태 메시지(예: $FileUpload||…||success||…||IsEnd)를 명령 및 제어(C2) 서버로 전송하고, 실패하면 실패를 보고합니다.

특히 주목할 만한 동작은 업로드된 파일이 특정 경로(예: C:\Users\Public\tvnserver.exe)와 일치하고 마지막 부분이 작성된 경우에 발생합니다. 이 경우 함수는 CreateProcessA를 사용하여 파일을 즉시 실행한 다음 명령줄 인수(-controlapp -connect)를 사용하여 다시 실행합니다. 이는 보조 페이로드(아마도 TightVNC와 같은 원격 데스크톱 또는 제어 도구)의 배포를 나타냅니다. 따라서 해당 루틴은 단순히 데이터 전송만을 위한 것이 아니라 다른 용도로도 사용될 수 있음을 확인시켜 줍니다. 페이로드 전달 및 실행이는 조작된 악성코드 감염의 특징입니다.

보안 소프트웨어 탐지

악성 프로그램 기능은 시스템에서 실행 중인 모든 프로세스를 열거하여 안티바이러스(AV)와 같은 설치된 보안 제품을 식별하는 방어 회피 및 환경 인식 루틴입니다. endpoint detection and response EDR(Enterprise Data Registry) 및 보안 에이전트를 탐지합니다. CreateToolhelp32Snapshot을 사용하여 활성 프로세스의 스냅샷을 생성하고 각 항목을 순회하면서 프로세스 이름을 Kaspersky, Windows Defender, ESET, Bitdefender, Avast, Avira, Sophos, McAfee, SentinelOne, CrowdStrike 및 여러 중국 기반 보안 솔루션(예: 360Safe, Qianxin, Sangfor)을 포함한 알려진 보안 관련 실행 파일 목록과 비교합니다. 일치하는 항목이 발견되면 프로세스를 읽기 쉬운 공급업체 이름(예: "Kaspersky", "Windows Defender")으로 매핑하여 버퍼에 저장하고 특정 탐지에 대한 내부 플래그를 설정합니다(이는 향후 기능 비활성화 또는 전략 변경과 같은 동작에 영향을 미칠 수 있음).

열거 작업을 완료한 후, 해당 함수는 식별된 모든 보안 제품을 중복이 제거된 문자열로 통합하여 최종 출력에서 ​​중복 탐지가 발생하지 않도록 합니다.

자격 증명 수집 및 표적 데이터 도용 모듈

이 악성코드는 특정 애플리케이션, 브라우저 및 원격 접속 도구에서 민감한 정보를 추출하도록 설계된 고도로 표적화된 자격 증명 수집 루틴을 보여줍니다. 이 기능은 사용자 디렉터리와 시스템 위치 전반에 걸쳐 하드코딩된 다양한 파일 경로를 체계적으로 스캔하며, 브라우저 자격 증명 저장소(예: Chrome의 로그인 데이터, 쿠키, 방문 기록 및 로컬 상태), FTP 클라이언트 구성(예: FileZilla), 데이터베이스 도구(PL/SQL Developer 환경 설정), Sunlogin 및 ToDesk와 같은 원격 접속 소프트웨어(config.ini)와 같은 중요 목표물을 집중적으로 공격합니다. 또한 SSH 연결 정보가 저장된 경우가 많은 NetSarang 디렉터리의 Xshell 세션 파일(*.xsh)도 특별히 표적으로 삼습니다.

또한, 해당 악성 프로그램은 사용자 문서 디렉터리에 있는 위챗 파일과 같은 메시징 애플리케이션 데이터에 접근하려고 시도하는데, 이는 통신 기록 및 캐시된 자격 증명에 관심을 보이는 것으로 해석될 수 있습니다.

인프라 관련 요소 및 위협 행위자 식별.

'그리프루어 작전'이라고 명명한 이번 작전에 대한 상세 분석 과정에서 whatsappcenter[.]com이라는 C2 도메인을 하나 발견했습니다. 이 도메인에 대한 추가 분석을 통해 다음과 같은 정보를 얻었습니다.

해당 도메인은 38[.]54[.]122[.]188 주소에서 수동 정보 소스로부터 얻은 세 가지 명확한 태그(BULLETPROOF, DEFAULT_LANDING_PAGE, REMOTE_ACCESS)를 가진 서버를 호스팅하고 있습니다. 호스트는 다음 위치에 있습니다. KAOPU-HK Kaopu Cloud HK Limited (AS138915)홍콩에 기반을 둔 자율 시스템으로, 아시아 태평양 지역에서 활동하는 위협 행위자들에게 악용 방지 호스팅을 제공해 온 오랜 역사를 가지고 있습니다.

이번 캠페인 전반에 걸친 기술적 지표들은 일관되고 조화로운 결과를 보여줍니다. 신중한 선택은 KAOPU-HK 방탄 인프라, C2 도메인의 .com 변형 등록, 중국 특화 AV 열거 페이로드에 포함된 목록 - 다음 공급업체를 포함합니다 360Safe, Qianxin, 그리고 Sangfor — 자격 증명 수집 모듈 내의 명시적인 위챗 데이터 타겟팅과 베트남의 군사 통신 부문 및 필리핀 의료 인프라를 아우르는 광범위한 동남아시아 타겟팅 범위는 종합적으로 속성 프로필을 형성합니다. Seqrite 실험실에서는 다음과 같이 평가합니다. 중간~높음 중국 연계 위협 집단으로서의 신뢰.

결론: 왜 그리프루어 작전을 해야 하는가?

'그리프루어 작전(Operation GriefLure)'이라는 이름은 이 캠페인의 가장 두드러지고 충격적인 특징, 즉 공격자가 미끼를 직접 만든 것이 아니라 슬픔에 잠긴 피해자로부터 미끼를 훔쳤다는 사실에서 유래했습니다. 레 티 둥(Lê Thị Dung)은 베트남에서 가장 강력한 군 소유 기업 중 하나를 상대로 4개월 이상 진정한 법적 싸움을 벌였습니다. 경찰에 신고하고, 공식 증거 자료를 제출하고, 실제 개인정보 유출로 인해 PTSD와 우울증을 포함한 심각한 정신적 트라우마를 겪은 피해자에게 정의를 구현하기 위해 노력했습니다.

공격자는 소셜 미디어에서 공개적으로 벌어지는 이 투쟁을 지켜보면서 피해자가 제출한 모든 진짜 문서를 체계적으로 수집했고, 피해자의 슬픔을 마치 외과 수술하듯 정밀하게 이용해 피해자가 싸우고 있던 바로 그 기관들을 공격했습니다. 피해자의 고통을 완벽한 스피어 피싱 미끼로 변형시킨 것입니다. 모든 문서가 진짜였고, 모든 이름이 정확했으며, 모든 수신자가 주저 없이 문서를 열어볼 만한 정당한 이유가 있었기 때문에 어떤 보안 교육으로도 확실하게 막을 수 없었습니다. 실제 피해자의 고통을 의도적으로 공격 메커니즘으로 악용한 것이 바로 이 캠페인을 정의하는 핵심이며, 동남아시아의 다른 위협 작전들 중에서도 특히 위험한 이유입니다. 왜 이 작전을 '그리프루어 작전'이라고 부르는가?.

Seqrite 적용 범위:

• 링크.트로이.50682.GC
• 스크립트.트로이.50683.GC
• 트로이목마.Win32CiR

IOC:

사진이름	SHA256
HỒ Sø BẰNG CHỨNG GHI NHẬN CHUỖI HÀNH VI VI PHẠM PHÁP LUẬT CÓ HỆ THỐNG VÀ LEO THANG CỦA TẬP Don VIETTEL.lnk	35af2cf5494181920b8624c7b719d39590e2a5ff5eaa1a2fa1ba86b2b5aa9b43
내부고발 보고서_SLMC_사기 및 부정행위_2026.pdf.lnk	bc090d75f51c293d916c40d4b21094faaec191a42d97448c92d264875bf1f17b
델라 크루즈 후안의 유효한 정부 신분증 - 필리핀 국가 신분증 앞면.png.lnk	197f11a7b0003aa7da58a3302cfa2a96a670de91d39ddebc7a51ac1d9404a7e6
iPad_Pro_디스플레이_사양_최종_기밀.docx.lnk	f34f550147c2792c1ff2a003d15be89e5573f0896c5aa6126068baa4621ef416
360.8.dll	bc83817c6d2bf8df1d58eac946a12b5e2566b2ffe15cf96f37c711c4b755512b
th5znehec.exe	61e9d76f07334843df561fe4bac449fb6fdaed5e5eb91480bded225f3d265c5f
a.dll	ee6330870087f66a237a7f7c115b65beb042299f12eae1e9004e016686d0c387
슬룰리르조이크	91a15554ec9e49c00c5ca301f276bd79d346968651d54204743a08a3ca8a5067
일괄	a49155df50963d2412534090bbd967749268bd013881ddb81d78b87f91cdc15b
일괄	7f80add94ee8107a79c87a9b4ccbd33e39eccd1596748a5b88629dd6ac11b86d

 

C2 :

www[.]whatsappcenter[.]com

미터 공격:

술책	기술명	기술 ID
초기 액세스	스피어피싱 첨부 파일	T1566.001
실행	사용자 실행(악성 LNK)	T1204.002
	명령 및 스크립팅 인터프리터(cmd/batch)	T1059.003
	시스템 바이너리 프록시 실행(ftp.exe 악용)	T1218
고집	환경 변수(PATH) 수정	T1574.007
	부팅 또는 로그인 자동 시작 실행(탐색기 조작)	T1547
권한 에스컬레이션	토큰을 사용하여 프로세스 생성(CreateProcessAsUser)	T1134.002
방어 회피	난독화/압축 파일(RAR/ZIP, 중첩 아카이브)	T1027
	자급자족 이진법	T1218
	다형성 코드/페이로드 난독화	T1027.014
	위장 공격 (.doc 파일 덩어리를 페이로드로 사용)	T1036
	프로세스 주입(원격 스레드 생성)	T1055.001
	DLL 사이드 로딩/실행	T1574.002
	지표 제거 / 숨겨진 실행(ADS)	T1564.004
자격 증명 액세스	웹 브라우저의 자격 증명	T1555.003
	파일에서 자격 증명 가져오기	T1552.001
발견	프로세스 발견	T1057
	시스템 정보 검색	T1082
	파일 및 디렉토리 검색	T1083
	보안 소프트웨어 발견	T1518.001
수집	화면 캡처	T1113
	로컬 시스템의 데이터	T1005
명령 및 제어	애플리케이션 계층 프로토콜(HTTPS)	T1071.001
	난독화/암호화된 채널(XOR 인코딩)	T1573
여과	C2 채널을 통한 유출	T1041
	자동화된 유출	T1020

저자:

• 딕시트 판찰
• 카르틱 지바니
• 소우멘 버마