목차
- 개요
- 주요 목표
- 영향을 받는 산업
- 지리적 초점
- 감염 사슬
- 초기 발견
- 미끼 문서를 살펴보다
- 기술 분석
- 1단계 – 악성 RAR 파일
- 2단계 – 악성 .NET 맬웨어 드로퍼
- 3단계 – 악성 Golang 셸코드 로더
- 4단계 – 셸코드 개요
- 사냥과 인프라
- 맺음말
- Seqrite 보호
- IOC
- MITER ATT & CK
- 작성자
개요
SEQRITE Labs APT-Team은 다음을 타겟으로 하는 캠페인을 추적하고 발견했습니다. 발틱 국립 기술 대학교, 다양한 분야에서 잘 알려진 기관 러시아의 군산복합체에 기여하는 방위, 항공우주 및 첨단 엔지니어링 프로그램. 추적됨 할로우퀼 작전캠페인은 다음을 활용합니다. 무기화된 미끼 문서 공식적인 연구 초대장으로 위장하여 침투하다 학계, 정부, 국방 관련 네트워크위협 엔티티는 .NET 맬웨어 드로퍼가 포함된 악성 RAR 파일을 전달하는데, 이 드로퍼는 합법적인 OneDrive 애플리케이션과 최종 Cobalt Strike 페이로드가 포함된 미끼 기반 PDF와 함께 다른 Golang 기반 셸코드 로더를 추가로 전달합니다.
주요 목표
영향을 받는 산업
- 학술 및 연구 기관
- 군사 및 방위 산업.
- 항공우주 및 미사일 기술
- 정부 중심의 연구 기관.
지리적 초점
- 러시아 연방.
감염 사슬.
초기 조사 결과.
2025년 초, 우리 팀은 다음과 같은 악성 RAR 아카이브 파일을 발견했습니다. Исх 3548 о формировании государственных заданий на проведение фундаментальных и поисковых исследований БГТУ «ВОЕНМЕХ» им. Д.Ф. Устинова.rar , DF Ustinov의 이름을 딴 BSTU 'VOENMEKH'에서 기초 및 탐색 연구를 수행하기 위한 국가 과제 형성에 대한 발신 3548로 번역됩니다.rar가 표면화되었습니다. 바이러스 전체. 조사 결과, 이 RAR은 여러 다른 페이로드와 PDF 기반 미끼를 포함한 악성 .NET 드로퍼를 포함하고 있어 초기 감염원으로 사용되었다는 것을 확인했습니다.
RAR 아카이브에는 "라는 이름의 드로퍼로 작동하는 악성 .NET 실행 파일이 포함되어 있습니다.Исх 3548 о формировании государственных заданий на проведение фундаментальных и поисковых исследований БГТУ «ВОЕНМЕХ» им. Д.Ф. 유스티노바"이는 DF Ustinov의 이름을 딴 BSTU 'VOENMEKH'에서 기초 및 탐색 연구를 수행하기 위한 국가 과제 수립과 관련된 발신 번호 3548로도 해석됩니다. 이 드로퍼는 Golang으로 작성된 악성 셸코드 로더와 함께 합법적인 OneDrive 실행 파일을 배포하는 역할을 합니다. 실행 시 .NET 실행 파일은 여러 작업을 수행합니다. 그중 하나는 셸코드가 포함된 Golang 로더를 배포하고, 합법적인 OneDrive 프로세스에 셸코드를 삽입하고, 미끼 문서를 생성합니다. 기술적 세부 사항을 살펴보기 전에 먼저 미끼 문서를 살펴보겠습니다.
미끼 문서를 살펴보세요.
미끼 문서를 살펴보니 이 미끼는 다음과 관련된 문서인 것으로 밝혀졌습니다. 러시아 과학 및 고등교육부, 특히 관련된 발틱 국립 기술 대학교 "VOENMEKH"는 DF Ustinov의 이름을 따서 명명되었습니다.해당 문서는 여러 기관에 보낸 공식 문서로 보이며, 국가가 지정한 연구 프로젝트나 국방 관련 학술 협력에 대한 내용을 논의하고 있을 가능성이 있습니다.
위의 내용은 미끼의 초기 부분을 번역한 것입니다.
본 PDF 문서의 내용과 전체 내용은 본 PDF가 국가 과제 배정에 대한 포괄적인 지침으로 활용됨을 확인시켜 줍니다. 2026-2028년 예산 주기에 따라 기관들이 기초 및 응용 연구 프로젝트에 대한 제안서를 제출하는 절차를 간략하게 설명합니다. 특히 첨단 과학기술 연구 기관들이 지정된 기한 내에 국가 과학 연구 및 기술 프로젝트 통합 정보 시스템(ЕГИСУ НИОКТР)에 기술 관련 요청을 등록하는 방법에 대한 지침을 제공합니다.
이제 미끼 문서의 후반부를 살펴보면, 미끼 문서는 국가가 배정한 연구 과제 제출 절차에 대한 추가 정보를 제공하고 있으며, 이러한 프로젝트에 대한 재정 지원은 러시아 과학고등교육부의 예산 배정을 통해 이루어진다는 점을 강조하고 있습니다. 또한, 이 문서에는 기초탐사연구부 선임 연구원인 보그단 예브게니예비치 멜니코프의 문의 연락처와 연락을 위한 이메일 주소가 명시되어 있습니다.
글쎄요, 이 미끼의 끝에서 기술 과학 박사로 확인된 AE Shashurin이 서명한 것을 볼 수 있습니다. (일), 교수, 그리고 임시 총장 (즉, 총장) 기관의. 전반적으로 이 유인 문서는 러시아 과학고등교육부의 공식 발표문으로, 국가 지원 연구 사업과 관련하여 기관에 지침을 제공합니다.
기술 분석
우리는 분석을 네 가지 주요 부분으로 나누겠습니다. 먼저,, 우리는 악성 RAR 아카이브를 조사할 것입니다. 초, 우리는 악의적인 .NET 드로퍼를 탐구해보겠습니다. 셋째, 악성 Golang 기반 셸코드 인젝터의 작동 방식을 분석하는 데 중점을 두고, 마지막으로 악성 Cobalt Strike 페이로드를 살펴보겠습니다. 이러한 상세한 분석을 통해 사용된 방법론을 파악하고 이 특정 캠페인에서 위협 행위자의 전술에 대한 통찰력을 제공할 것입니다.
1단계 – 악성 RAR 파일.
악성 RAR 파일을 조사한 결과, Исх 3548 о формировании государственных заданий на проведение фундаментальных и поисковых라는 또 다른 악성 실행 파일이 포함되어 있는 것으로 나타났습니다. исследований БГТУ «ВОЕНМЕХ» им. Д.Ф. Устинова. 해당 파일의 인공물을 초기 분석한 결과 32비트 .NET 기반 실행 파일이라는 것이 밝혀졌습니다. 다음 섹션에서는 this.NET 실행 파일의 기능을 살펴보겠습니다.
2단계 – 악성 .NET 맬웨어 드로퍼.
이제 RAR 아카이브에 압축된 .NET 파일의 작동 방식을 살펴보겠습니다. 이전 섹션에서 확인했듯이, 이 바이너리는 기본적으로 32비트 .NET 실행 파일이며, 분석 도구에 로드하는 동안 SystemUpdaters.exe로 이름이 변경되었습니다.
샘플을 살펴보니 세 가지 흥미로운 방법이 있었습니다. 이제 좀 더 자세히 살펴보겠습니다.
첫 번째 메서드를 살펴보면 Main 함수가 MyCustomApplicationContext라는 또 다른 메서드를 호출하는 것을 알 수 있습니다. 이 메서드를 분석해 보겠습니다.
다음으로, 메서드를 살펴보면, 이 코드는 처음에 미끼 PDF가 C:\Users\Appdata\Roaming\Documents 위치에 있는지 확인하고, PDF 파일이 없는 경우 리소스 섹션에 저장된 미끼 파일을 복사하여 해당 위치에 씁니다.
다음으로 코드를 더 자세히 살펴보면, 기본적으로 합법적인 OneDrive 애플리케이션인 OneDrive.exe 파일이 있는지 확인하고, 원하는 위치에서 해당 파일을 찾지 못할 경우 리소스 섹션에 저장된 합법적인 애플리케이션을 복사하여 해당 위치에 쓰는 것을 발견했습니다.
코드의 후반부를 살펴보면, C:\Users\Appdata\Roaming\Driver 위치에서 OneDrives_v2_1.exe라는 이름의 파일을 확인하고, 해당 파일을 찾지 못하면 다른 파일과 마찬가지로 리소스 섹션에서 실행 파일을 복사하여 해당 위치에 씁니다.
이 드로퍼의 가장 흥미로운 측면 중 하나를 살펴보면, X2yL.lnk라는 바로가기(.lnk) 파일을 Windows 시작 폴더에 저장하여 시스템 부팅 시 실행되도록 하는 지속성 메커니즘을 사용한다는 것입니다. H3kT7fXw 메서드를 분석한 결과, 이 바로가기 파일을 생성하는 것이 HXNUMXkTXNUMXfXw 메서드임을 확인했습니다. 이 메서드는 WshShell을 사용하여 .lnk 파일을 생성하고 해당 파일에 Microsoft Office 기반 아이콘, 의심을 덜 받게 합니다. 또한, 바로가기의 대상 경로는 악성 페이로드(예: OneDrives_v2_1.exe)가 저장된 위치로 설정되어 부팅 시 바로가기가 트리거될 때마다 해당 페이로드가 실행되도록 보장합니다.
마지막으로, 화면에 가짜 PDF 파일을 생성합니다. 악성 .NET 드로퍼에 대한 분석을 마무리하며, 다음 섹션에서는 이 드로퍼가 생성한 악성 실행 파일을 분석하겠습니다.
3단계 – 악성 Golang 셸코드 로더.
먼저 분석 도구 내부의 샘플을 살펴보면 이 실행 파일이 Golang으로 프로그래밍되어 있음을 확인할 수 있습니다. 다음으로, 쉘코드 로더의 작동 방식과 삽입 메커니즘을 살펴보겠습니다.
이 셸코드 로더의 첫 번째 부분을 살펴보면 바이너리가 실행된다는 것을 알 수 있습니다. 시간_현재 현재 시스템 시간을 캡처하는 함수를 호출한 후, 하드코딩된 값을 갖는 Golang 함수인 time_sleep을 호출합니다. 그런 다음 sleep 이후의 타임스탬프를 확인하는 time_now 함수를 다시 호출합니다. 그런 다음, 함수가 캡처한 타임스탬프와 sleep 시간 간의 차이를 확인하는 time_Time_Sub를 호출하여 총 sleep 시간이 6초 미만인지 확인합니다. sleep 시간이 XNUMX초 미만이면 프로그램을 종료합니다. 이는 일종의 분석 방지 기법입니다.
다음으로, 코드를 검사해보니 .NET 드로퍼에 의해 삭제된 합법적인 OneDrive 실행 파일이 Golang의 CreateProcess API를 사용하여 유사한 프로세스로 생성되고 있으며, 해당 프로세스가 일시 중단 모드에서 생성되고 있음을 발견했습니다.
그런 다음, 이 로더 바이너리에 이미 내장된 셸코드는 셸코드를 반환하는 Golang 함수 embed_FS_ReadFile을 사용하여 읽혀집니다.
다음으로, 이전 함수에서 base64로 인코딩된 형식으로 반환된 셸코드는 Golang 네이티브 함수 base64.StdEncoding.DecodeString을 사용하여 디코딩되어 반환됩니다.
그러면 코드는 기본적으로 하드코딩된 13바이트 크기의 키를 사용하는데, 이는 기본적으로 전체 셸코드를 디코딩하는 데 사용됩니다.
마지막으로 코드는 APC 주입 기술을 수행하여 셸코드를 메모리 내부에 주입합니다. 먼저 일시 중단된 상태에서 프로세스를 시작한 다음 셸코드를 디코딩하고 암호 해독한 다음 일시 중단된 OneDrive.exe 프로세스에 메모리를 할당합니다. 그런 다음 메모리가 할당되면 WriteProcessMemory를 사용하여 셸코드를 메모리 내부에 쓰고 QueueUserAPC API를 사용하여 일시 중단된 프로세스의 메인 스레드 내부에 함수 호출을 큐에 넣습니다. OneDrive.exe 프로세스입니다. 마지막으로 ResumeThread를 사용하여 대기 중인 APC 함수(셸코드 포함)를 실행하여 OneDrive.exe 컨텍스트 내에서 삽입된 악성 코드를 효과적으로 실행합니다. 이제 셸코드의 주요 아티팩트를 분석해 보겠습니다.
4단계 - 셸코드 개요.
악성 셸코드를 내부에서 조사하고 분석한 결과, 셸코드는 실제로 로더라는 것을 발견했는데, 이 로더는 처음에 Windows wwanmm.dll 라이브러리를 로드하여 작동합니다.
DLL이 로드되면 DLL의 .text 섹션이 0으로 초기화됩니다. Windows API인 DllCanUnloadNow를 사용하여 메모리에 비콘을 준비합니다. 따라서 Cobalt Strike 비콘인 셸코드의 작동이 더욱 용이해집니다.
추가 분석을 통해 비콘이 공격자가 특정 사용자 에이전트를 사용하여 호스팅하는 C2 서버에 연결되고 있다는 것이 분명해졌습니다. 이 도구는 매우 널리 사용되므로 악성 비콘의 작동 방식에 대해서는 자세히 다루지 않겠습니다. 비콘의 구성은 다음과 같이 추출할 수 있습니다.
추출된 구성:
방법: GETHost[명령 및 제어]: phpsympfony.com 사용자 에이전트: “Mozilla/5.0 (Windows NT 6.3; Trident/7.0; rv:11.0) like Gecko”
사냥과 인프라.
Golang으로 프로그래밍된 셸코드 인젝터를 분석한 결과, 위협 행위자가 인젝터와 함께 Go-build ID를 남겨두는 등 OPSEC 관련 오류를 거의 발견하지 못했으며, 이를 통해 동일한 위협 행위자가 사용하는 유사한 페이로드를 추적할 수 있었습니다. Go-build ID는 다음과 같습니다.
-_APqjT14Rci2qCv58VO/QN6emhFauHgKzaZvDVYE/3lVOVKh9ePO_EDoV_lSN/NL58izAdTGRId20sd3CJ
인프라 아티팩트를 살펴보면, phpsymfony[.]com 도메인에 호스팅된 악성 명령 및 제어(C&C) 서버가 여러 ASN 서비스 간에 도메인을 순환하고 있는 것으로 나타났습니다. 또한, C2 서버에서 고유한 HTTP 제목(Title)도 여러 번 순환되었습니다.
기록 전체에 걸친 반응을 살펴보면 Coming Soon – pariaturzzphy.makebelievercorp[.]com이라는 제목이 여러 번 설정되었음을 알 수 있습니다.
동일한 HTTP 제목을 추가로 검색한 결과, 많은 호스트가 동일한 제목을 제공하고 있으며, 그 중 일부는 ASyncRAT 등의 악성 바이너리를 제공하고 있음을 발견했습니다.
ASN을 살펴보면, C2 서버는 활성화 날짜부터 순환되고 있습니다. 목록은 다음과 같습니다.
| ASN | 위치 정보 | 대표이사 |
| AS13335 | United States | 클라우드플레어 넷 |
| AS35916 | United States | 멀타-ASN1 |
| AS135377 | Hong Kong | UCLOUD-HK-AS-AP UCLOUD 정보 기술 HK 유한회사 |
| AS174 | United States | 코젠트-174 |
| AS47846 | 독일 | 세도-AS |
| AS8560 | 🌍 알 수 없음 | 이오노스-AS |
맺음말
위협 행위자가 발틱 공과대학교를 표적으로 삼아 연구 목적의 미끼를 사용하고 있음을 발견했습니다. .NET 드로퍼를 사용하여 셸코드 로더를 실행하고, 최종적으로 Cobalt Strike 인메모리 임플란트를 배포하는 방식입니다. 위협 행위자가 사용한 전체 캠페인과 TTP를 분석한 결과, 위협 행위자가 2024년 XNUMX월부터 몇 달 전부터 공격 활동을 시작했다는 결론을 내릴 수 있습니다.
SEQRITE 보호.
- Trojan.Ghanarava.1738100518c73fdb
- Trojan.Ghanarava.1735165667615275
IOC(국제사회책임투자위원회)
| MD5 | 파일 이름 |
| ab310ddf9267ed5d613bcc0e52c71a08 | Исх 3548 о формировании государственных заданий на проведение фундаментальных и поисковых исследований БГТУ «ВОЕНМЕХ» им. Д.Ф. Устинова.rar |
| fad1ddfb40a8786c1dd2b50dc9615275 | 시스템업데이트.exe |
| cac4db5c6ecfffe984d5d1df1bc73fdb | OneDrives_v2_1.exe |
C2
| phpsymfony[.]com |
| hxxps://phpsymfony[.]com/css3/index2.shtml |
미터 공격.
| 술책 | 기술 ID | 성함 |
| 초기 액세스 | T1566.001 | 피싱: 스피어 피싱 첨부 파일
|
| 실행 | T1204.002
T1053.005 |
사용자 실행: 악성 파일
예약된 작업. |
| 고집 | T1547.001 | 레지스트리 실행 키/시작 폴더 |
| 방어 회피 | T1036 T1027.009 T1055.004 T1497.003 |
위장 내장된 페이로드. 비동기 프로시저 호출 시간 기반 회피 |
| 명령 및 제어 | T1132.001 | 데이터 인코딩: 표준 인코딩 |
작성자
- 수바지트 싱하
- 사트윅 람 프라키
