- 개요
- 연혁
- 주요 목표
- 영향을 받는 산업
- 지리적 초점.
- 감염 사슬.
- 초기 조사 결과.
- 기술적 분석
- 캠페인 – 나
- LNK 방식.
- 악의있는 무소음 로더
- 악의있는 라플라스 임플란트 – TCP 및 TLS.
- 악성 .NET 임플란트 – 무음 청소기
- 캠페인 – II
- 악성 .NET 임플란트 – 무음 청소기
- VB스크립트.
- 악성 PowerShell 스크립트.
- 캠페인 – 나
- 사냥과 인프라.
- 속성
- 조기 개선.
- 맺음말
- SEQRITE 보호.
- IOC
- 미터 공격.
- 참고자료
저자: Subhajeet Singha, 프리야 파텔, 사트윅 람 프라키.
개요
Seqrite Labs의 APT 팀은 명명법을 처음으로 지정했습니다. "조용한 린스" 위협 집단에. 그 이전과 이후에도 여러 연구자들이 초기 캠페인을 파악하고 이 집단을 다음과 같은 다양한 이름으로 지칭했습니다. 요로트루퍼, 철갑상어 피셔, 기병 늑대인간, 섀도우실크, 그리고 다른 사람들. 우리가 그 명명 규칙에 따라 이러한 캠페인을 처음으로 발견하고 추적했기 때문에 우리는 계속해서 그룹을 다음과 같이 지칭해 왔습니다. 조용한 린스 일관성을 유지하고 여러 개의 별칭이 중복되어 발생하는 혼란을 피하기 위해서입니다.
여러 다른 조사 업체와 저희의 게시글에 따르면, Silent Lynx는 정부 공무원을 사칭하여 정부 직원을 표적으로 삼는 스피어피싱 기반 캠페인을 조직하는 것으로 악명 높습니다. 오픈소스 프로젝트에서 맞춤 제작하거나 때로는 기성품으로 제공되는 공격 도구를 활용하여, 주로 중앙아시아 싱크탱크, 정부, 러시아 정부, 그리고 동남아시아 일부 국가를 표적으로 삼았습니다.
이 블로그에서는 스테이저(stager) 배포 측면에서 굼뜬 변경을 하고, 사소한 OPSEC 오류를 범하며, 가짜 RAR 아카이브를 통해 아제르바이잔-러시아 관계를 표적으로 삼는 여러 기관에 걸친 캠페인을 파악한 과정을 살펴보겠습니다. 이 그룹은 또한 악성 .NET 이식물을 이용하여 중국-중앙아시아 기관들을 표적으로 삼아 왔습니다. 저희는 이 그룹의 유일한 목적이 성급하게 수행된 간첩 활동이며, 이로 인해 많은 오류가 발생하여 이번 연구에서 여러 가지 결과가 도출되었다고 생각합니다. 또한 연구 단계에서 발견된 여러 캠페인과 이식물을 포괄하는 인프라도 살펴보겠습니다.
글쎄요, 마지막으로 이 연구의 마지막 주제는 "도로는 두샨베로 이어진다”. 이 주제는 블로그 후반부에 천천히 통합될 예정이며, 이것이 이 주제를 선택한 이유입니다.
타임 라인.
주요 목표
Silent Lynx는 여러 국가의 여러 지역을 표적으로 삼아 왔으며, 이번 연구에서는 아스타나, 두샨베, 바쿠처럼 사건 발생 시 지리적으로 매우 밀접한 관련이 있는 지역에 집중할 것입니다. 6월 초부터 9월 초까지 추적했던 첫 번째 캠페인은 중국 및 중앙아시아 정부 싱크탱크가 사용하는 정상회담의 주제, 에서 개최되었습니다 아스타나, 수도는 어디인가 카자흐스탄9월 중순에서 10월 사이에 우리는 동일한 위협 그룹이 수행한 또 다른 캠페인을 발견했습니다. 키르기스스탄에 기반을 둔 정부 기관 BI. Zone의 위협 연구원들이 발견한 바에 따르면, 러시아의 다양한 기관을 표적으로 삼는 것으로 보입니다.
유사한 발자국을 따라가면서 우리는 위협 행위자가 또한 관련된 엔터티를 표적으로 삼았다는 사실을 발견했습니다. 아제르바이잔-러시아 외교, 전략적 협력 등 특정 키워드와 함께 정상회담의 주제를 사용하여 두샨베. 타겟이 된 산업은 다음과 같습니다.
영향을 받는 산업
- 정부 싱크탱크 및 외교관.
- 광업 산업.
- 운송 및 통신 산업.
지리적 초점
- 타지키스탄
- 아제르바이잔
- 러시아
- 중국
- 기타 중앙아시아 국가들(참고, 관련 이전 연구) 침묵의 스라소니 발견)
감염 사슬
초기 조사 결과.
SEQRITE APT-Team에서는 2024년 11월부터 Silent Lynx를 세심하게 추적해 왔습니다. 처음에 우리는 이 그룹이 키르기스스탄, 투르크메니스탄, 우즈베키스탄 전역의 여러 중요 기관을 표적으로 삼았고 국립 은행, 철도 프로젝트 등과 같은 중요 부문과 관련된 간첩 활동만을 목표로 했다는 사실을 발견했습니다. 우리의 조사 결과는 다음에서 발표되었습니다. 바이러스 게시판, 2025.
우리의 협력에서 언급했듯이 VirusTotal 위협 그룹을 사냥하기 위해 사용하는 연구와 핵심 요점, 예를 들어 PowerShell.exe 바이너리를 악용하는 Base64로 인코딩된 PowerShell 임플란트와 로더를 사용하는 집착에 대해 알아보겠습니다.
유사한 핵심 논리를 사용하여 우리는 9월에 조직된 것으로 믿는 캠페인을 발견했습니다. 처음에는 6월에 그리고 그 샘플은 9월에 우리가 발견했습니다.
나중에 비슷한 논리를 사용하여 스테이저 배치에 약간의 변화를 준 유사한 작전 방식을 사용하는 또 다른 캠페인을 발견했습니다. 이 캠페인이 10월에 발견되었으므로, 특정 주제에 따라 10월에 다시 조직되었을 것으로 추정됩니다.
추가적인 탐색과 방향 전환을 통해 우리는 이 두 캠페인이 최종 스테이저 페이로드 배치에 있어서 아주 적은 수의 변경이 있었지만, 모두 같은 위협 그룹인 Silent Lynx에 의해 시작되었다는 것을 확인했습니다.
연구의 다음 섹션에서는 연구의 기술적인 부분과 다른 흥미로운 부분에 초점을 맞출 것입니다.
기술적 분석
이 위협 그룹에 대한 우리의 조사 중에 코드명으로 피크어바쿠 작전, 우리는 여러 캠페인 세트를 발견했습니다. 결과를 명확하게 보여주기 위해 분석을 두 부분으로 나누었습니다.
첫 번째 섹션에서는 위협 행위자가 최종 단계 역방향 셸을 배포하는 데 사용하는 다양한 방법을 자세히 설명합니다. 이는 주로 관련된 엔터티를 대상으로 합니다. 러시아-아제르바이잔 관계두 번째 섹션은 다음을 목표로 하는 캠페인에 초점을 맞춥니다. 중국-중앙아시아 관계기술적 분석은 연대순으로 정리되어 있지 않으며 전체 캠페인 내의 정확한 사건 순서를 반영하지 않는다는 점에 유의하는 것이 중요합니다.
캠페인 – 나
러시아-아제르바이잔 외교 관계에 있는 기관을 표적으로 삼은 캠페인을 분석해 보겠습니다.
2025 년 XNUMX 월
처음에 저희 팀은 2025년 10월 상반기, 정확히는 10월 둘째 주에 "전략적 협력 개발 계획"이라는 이름의 악성 RAR 아카이브를 발견했습니다. 실제로 이 파일명이 어떻게 작성되었는지도 확인했습니다. 러시아어 문법적으로 틀림, 그것은 아마도 다음에 의해 만들어졌을 것이라고 암시합니다. 모국어가 아닌 사람 또는 웹에서 제공되는 여러 번역기를 사용하여 자동으로 생성됩니다.
우리는 이 캠페인이 회의를 조직하고 진행하는 데 관여하거나 관련된 외교 기관을 표적으로 삼았다고 믿기 때문에 이 캠페인은 특별히 다음을 표적으로 삼았습니다. 외교 단체 관련되었거나 관련이 있었던 조직 및 조정 두샨베에서 러시아-아제르바이잔 회담 개최, 타지키스탄, 2025년 10월. 정상회담을 둘러싼 시기와 정치적 맥락을 감안할 때, 회복과 강화에 초점을 맞추었습니다. 전략적 협력 두 나라 사이에서는 위협 행위자가 다음과 같은 목적을 가지고 있다고 의심됩니다. 외교 통신에 대한 정보를 수집하다 이러한 높은 수준의 참여와 연결되어 있습니다.
이제 사용된 악성 페이로드 세트의 기술적 무기고를 살펴보겠습니다.
LNK 방식
우리는 의심스러운 RAR 파일인 План развитие стратегического сотрудничества.pdf.rar를 검색했고, 파일을 열었을 때 RAR 파일에 비슷한 이름의 악성 LNK가 포함되어 있다는 사실만 확인했습니다.
LNK 파일의 내용을 분석한 결과, LNK가 powershell.exe 바이너리를 악용하여 GoBuster777이라는 GitHub 저장소에서 악성 PowerShell 파일을 다운로드하고 실행하려 한다는 것을 알아냈습니다. 다운로드되는 파일은 1.ps1입니다. 흥미롭게도, 의심스러운 파일 경로도 발견되었는데, 이 경로는 이 연구 블로그의 후반부에서 추가 캠페인을 추적하는 데 활용될 예정입니다.
1.ps1 파일을 다운로드한 결과, Silent Lynx의 이전 캠페인과 또 다른 유사점을 발견했습니다. 즉, PowerShell을 통해 실행되는 Base64로 인코딩된 악성 블롭을 사용한다는 점입니다.
Base64 blob을 디코딩한 결과 이것이 TCP 기반의 빠른 역방향 셸이라는 것을 확인했습니다. 206.189.11.142:443페이로드는 소켓을 열고 스트림을 생성한 후 지속적인 읽기-실행-반환 루프에 진입합니다. 원격 운영자로부터 텍스트 명령을 읽어 Invoke-Expression을 통해 로컬에서 실행하고, 열거형 결과를 문자열로 변환한 후 동일한 연결을 통해 출력을 다시 작성합니다. 마지막으로, 위협 행위자가 오픈소스 터널러도 배포했다는 사실도 발견했습니다. Ligolo-ng PowerShell 기반 역방향 셸과 함께 TA는 피해자 컴퓨터에서 임의의 명령을 실행할 수 있는 액세스 권한을 얻었습니다.
악성 SILENT LOADER 임플란트.
우리는 식별했다 두 번째 임플란트 동일한 캠페인에 연결되었습니다. 파일 이름은 silent_loader.exe, 유사한 위치(아제르바이잔)에서 업로드되었습니다.
이 아티팩트와 이전에 그룹에 사용된 여러 별칭을 감안할 때, 우리는 행위자가 "조용한” 명명 모티브. 그 선호도는 임플란트의 이름을 설명할 수 있습니다. 무소음 로더 그리고 우리의 지속적인 사용을 지원합니다 조용한 린스 추적을 위한 라벨.
이 임플란트의 기술적 세부 사항을 살펴보면, 매우 단순하고 첫 번째 캠페인에서 처음 발견된 C++ 기반 로더와 매우 밀접한 관련이 있는 것으로 드러납니다. 이 임플란트에서는 iex를 사용하여 이전 섹션에서 살펴본 악성 1.ps1 파일을 다운로드합니다.
마지막으로, 악성 PowerShell 스크립트를 다운로드하고 실행하는 전체 명령을 생성하는데, 이는 CreateProcessW API에 명령줄을 인수로 전달하여 수행됩니다. 이렇게 하면 C2 프레임워크에 다시 연결되는 새로운 PowerShell 프로세스가 생성됩니다.
Silent Loader의 가장 흥미로운 부분 중 하나는 2024년 11월~2025년 1월에 발견된 최초 로더와 정확히 일치한다는 것입니다. 이는 유일한 주요 차이점은 로더 바이너리 내부에 인코딩된 Base64 블롭을 추가하는 대신 위협 행위자가 GitHub에서 콘텐츠를 다운로드하기 위해 느린 움직임을 보였다는 것입니다.
악성 LAPLAS 임플란트 – TCP 및 TLS.
또한 이 위협 그룹이 이번 캠페인에서 사용한 악성 임플란트를 발견했으며, Laplas라는 이름으로 추적하고 있습니다. 이 임플란트는 C++로 프로그래밍되었으며 TCP 기반 네트워크 스택 의사 소통을 위해.
이 임플란트의 초기 부분을 살펴보면 특정 포트 번호 443에서 악성 명령 및 제어에 연결하려고 시도하는 것을 알 수 있습니다. 역셸은 기본적으로 다음과 같이 작동합니다.
- ./laplas.exe
시작 시 인수가 제공되지 않으면 코드 흐름은 바이너리 내부의 하드코딩된 C2 주소와 포트 번호로 되돌아가며, 이는 기본적으로 커넥터 함수인 sub_F710D0 함수에 전달됩니다.
커넥터를 살펴보면, 처음에는 5초간 대기한 다음 버퍼 기반 작업을 수행하여 C2 서버에 연결합니다.
그런 다음 다른 함수는 하드코딩된 문자열의 XOR 디코딩 작업을 수행합니다. 디코딩 결과 해당 문자열은 cmd.exe로 밝혀지고, 이는 CreateProcess API에 매개변수로 전달됩니다.
임플란트에는 몇 가지 흥미로운 부분이 있는데, 그중 하나는 임플란트 작동 방식과 크게 관련이 없는 가비지 코드가 잔뜩 들어 있다는 것입니다. 또 다른 하나는 C2 서버에서 에코를 반환한다는 것입니다. 임플란트가 서버에 연결을 시도할 때마다.
마지막으로 위협 행위자로부터 종료 메시지를 받으면 임플란트는 모든 리소스를 해제하고 정상적으로 종료됩니다. 또한, 명령 및 제어 인프라와 일부 기능 및 아티팩트에 약간의 차이가 있지만 거의 유사한 작업을 수행하는 동일한 LAPLAS 임플란트의 또 다른 버전을 확인했습니다. TLS 기반 역쉘.
TLS 기반 기능을 갖춘 임플란트는 러시아-아제르바이잔 기반 공격에는 사용되지 않았습니다. 여러 경로를 통해 발견되었으며, 기술적 측면이 다소 독특하여 이 섹션을 기술 분석 섹션에 추가했습니다.
첫 번째 흥미로운 점은 Phenyx2022라는 흥미로운 문자열을 포함하고 있는데, 이는 개발자가 임플란트가 실행되는 동안 과시하고 싶어했던 애도의 서명일 뿐이라고 생각됩니다.
이 부분에서 임플란트는 운영자에게 "HELLO, Enter를 누르세요."라는 메시지를 보냅니다. 핸드셰이크가 완료되면 I/O 작업과 이 임플란트의 다른 간단한 측면을 위해 파이프라고 하는 Windows 객체를 사용합니다.
이 사례에서 언급했듯이 TLS를 통해 통신하는 임플란트의 C2는 다른 C2 주소를 사용합니다.
운영자로부터 shexit 메시지를 받으면 Goodbye(안녕히 가세요)라는 메시지와 함께 정상적으로 종료됩니다.
악성 .NET 임플란트 – SilentSweeper.
또한 이 캠페인에 사용된 또 다른 .NET 임플란트를 발견했으며, 이를 SilentSweeper라는 이름으로 추적하고 있습니다.
이 임플란트의 흥미로운 점은 여러 개의 인수를 받는데, 그중 -extract라는 인수가 악성 PowerShell 스크립트를 추출하여 파일에 쓰는 역할을 한다는 것입니다. 이 인수는 바이너리의 리소스 섹션에 기본적으로 내장되어 있습니다.
PowerShell을 파일로 추출하는 이전 옵션 외에도, 임플란트는 임플란트 사양에 대한 도움말 목록을 제공하는 -? 및 PowerShell 스크립트의 디버깅을 지원하는 -debug 옵션과 같은 여러 다른 옵션도 제공합니다.
앞서 언급했듯이, 임플란트는 qw.ps1이라는 리소스에서 파일 이름을 로드하고 파일의 내용을 읽은 후 PowerShell 스크립트의 내용을 실행합니다.
Base64 블로그를 디코딩한 결과, 이 블로그가 기본적으로 악성 파일인 1.ps1을 다운로드하고 있다는 것을 알아냈습니다. 이 파일은 연구 1단계에서 분석했던 리버스 셸입니다. 이제 다음 단계에서는 다른 캠페인을 살펴보겠습니다.
캠페인 – II
중국과 중앙아시아 외교 관계에 있는 기관을 표적으로 삼은 캠페인을 분석해 보겠습니다.
저희 팀은 2025년 9월 둘째 주에 중국-중앙아시아 정상회담 프로젝트.rar라는 악성 RAR 아카이브를 발견했습니다. 저희는 이 캠페인이 외교 기관, 개인 및 기타 단체들을 표적으로 삼았고, 이들이 협상 타결 및 기타 여러 조율 과정에 관여하거나 조직화에 관여한 것으로 추정합니다. 중국-중부 아사이 정상회담, 개최됨 아스타나, 카자흐스탄, 2025월 XNUMX일.
이전에 발견된 캠페인과 다른 다양한 위협 연구 공급업체에서 식별한 캠페인을 바탕으로, 이 위협 그룹은 철도 및 기타 중요 인프라 도메인을 포함한 운송 및 통신 부문을 표적으로 삼는 것으로 관찰되었습니다.
따라서 해당 조직의 과거 행적과 표적 분야를 분석한 결과, 위협 행위자들은 교통 및 통신 기반 사업에 대한 정보를 수집하려 했을 가능성이 높습니다. 이러한 사업들은 2025년 중국-중앙아시아 정상회의에서 수립된 전략적 틀과 연계된 것으로 보입니다.
이제 사용된 악성 페이로드 세트의 기술적 무기고를 살펴보겠습니다.
악성 .NET 임플란트 – SilentSweeper
의심스러운 RAR 파일인 China-Central Asia SummitProject.rar을 찾아본 결과, 해당 RAR 파일에 비슷한 이름의 악성 실행 파일이 포함되어 있음을 발견했습니다.
이전 섹션의 SilentSweeper 임플란트에서 분석했듯이, 이제 이 캠페인에서 TM3.ps1로 알려진 악성 PowerShell 스크립트에 집중해보겠습니다.
Base64 blob을 디코딩한 후 두 개의 도우미 스크립트(a)를 다운로드하는 PowerShell 스크립트를 찾았습니다. Vbscript 및 PowerShell을 원격 호스트에서 스크립트)를 실행한 다음 예약된 작업을 생성합니다. WindowsUpdate를. 작업이 실행되도록 설정되었습니다. 6분마다 (/sc minute /mo 6) 생성 시 즉시 한 번 트리거되고 다운로드된 파일은 현재 사용자의 임시 폴더(예: C:\Users\)에 기록됩니다. \AppData\Local\Temp\WindowsUpdateService.ps1 및 …\WindowsUpdateService.vbs). 다음 섹션에서는 VBS와 PowerShell 스크립트를 살펴보겠습니다.
악성.VBScript.
VBScript를 살펴보면, 이 스크립트의 유일한 목적은 기본적으로 PowerShell 파일인 이후 단계를 실행하는 것이라는 것이 분명해졌습니다.
악성 PowerShell.
다음으로 WindowsUpdateService.ps1 파일을 살펴보니 인코딩된 블롭(blob)이 포함되어 있었고, 이를 디코딩한 결과 이 블롭이 이 블로그에서 이전에 분석했던 최종 단계의 리버스 셸 페이로드와 정확히 일치한다는 것을 확인했습니다. 또한, 모든 캠페인 중에서 공격자가 오픈소스 도구를 활용하는 것을 확인했다는 점도 중요합니다. 리골로-응.
다음 섹션에서는 사냥과 사회 기반 시설 유물에 대해 중점적으로 살펴보겠습니다.
사냥과 인프라.
두 캠페인을 분석하는 동안 LNK 기반 메타데이터, 인프라 피벗, 기타 속성이 지정되지 않은 캠페인 등 추가 조사에 귀중한 전환점이 되는 여러 가지 아티팩트를 발견했습니다. 이러한 부분을 자세히 살펴보겠습니다.
LNK 메타데이터를 통한 피벗팅.
여러 LNK 기반 메타데이터가 다른 출처가 확인되지 않은 캠페인으로 이어졌습니다. 해당 부분을 자세히 살펴보겠습니다.
처음에 악성 LNK 파일을 조사하던 중, 위의 메타데이터가 포함된 흥미로운 작업 디렉터리를 발견했습니다. 기본적으로 C:\Users\GoBus\OneDrive\Рабочий стол이라고 되어 있는데, 기본적으로 데스크톱으로 번역됩니다.
해당 아티팩트를 더욱 심층적으로 분석하여, 기본적으로 동일한 메타데이터를 포함하는 11개의 바로가기(.LNK) 파일을 찾아냈습니다. 흥미롭게도, LNK Way라는 악성 작업을 수행하는 악성 RAR 파일도 발견되었는데, 현재로서는 출처가 확인되지 않은 캠페인으로 추정되며, 이 파일 역시 유사한 메타데이터를 포함하는 LNK 파일을 포함하고 있습니다.
다음으로, 더 많은 수의 속성이 지정되지 않은 캠페인으로 이어지는 인프라 아티팩트에 대한 피벗을 살펴보겠습니다.
인프라-인공물을 통한 회전.`
악성 PowerShell 역셸이 GitHub에서 호스팅되는 것을 확인한 후, 해당 아티팩트를 더욱 자세히 조사한 결과, resume.rar라는 이름을 포함하는 또 다른 캠페인을 발견했으며, 현재는 정확히 유사한 기술을 사용하여 대상 부문과 관련하여 속성이 지정되지 않았습니다.
다음으로, GitHub 저장소에서 다른 인프라 엔티티로 여러 번 피벗된 여러 페이로드를 살펴보았습니다. 또 다른 악성 호스트 주소 집합을 발견했고, 추가 피벗을 통해 WindowsUpdateService.zip이라는 악성 ZIP 파일을 사용하여 악성 PowerShell 스크립트를 제공하는 또 다른 캠페인을 발견했습니다.
또한 우리는 이 악성 인프라 아티팩트와 연결된 또 다른 캠페인과, 이러한 악성 파일을 제공하는 캠페인에 연결된 바이너리를 발견했습니다.
또한 이러한 악성 아티팩트에 연결되어 여러 작업을 수행하는 여러 실행 파일도 확인했습니다. 이제 다음 섹션에서 인프라 세부 정보를 살펴보겠습니다.
| 호스트/IP 주소 | ASN | 오시는 길 |
| 62.113.66.137 | AS 60490 | 러시아() |
| 206.189.11.142 | ASN 14061 | 네덜란드 () |
| 62.113.66.7 | AS 60490 | 러시아() |
| 37.18.27.27 | AS 48096 | 러시아() |
속성.
귀속은 실제로 가장 어려운 부분이며, 피해자 연구 및 위협 캠페인의 여러 다른 영역에 대한 엄격한 지침을 제시하는 것은 많은 경우 난제일 수 있습니다. 하지만 위협 그룹, 특히 TTP(전술적 접근 방식), 특정 지역 및 인프라 프로젝트에 대한 이해관계를 간첩 목적으로 면밀히 모니터링함으로써 어느 정도까지는 귀속을 제한할 수 있습니다. 따라서 이러한 아티팩트를 고려하여, 저희는 이러한 위협 캠페인을 Silent Lynx의 소행으로 확신하며, 그 이유는 다음과 같습니다.
아스날 중심의 귀속.
- 우리가 이 위협 그룹을 추적한 이래로 운영자들이 Base64 인코딩에 지나치게 집착하고 있다는 사실을 알게 되었습니다. C++, PowerShell, Golang 7 .NET에서 go-to reverse-shells 사용우리는 그룹이나 운영자가 우리의 연구를 따라가다가 C++ 바이너리에 하드코딩하는 대신 Base64로 인코딩된 블롭을 GitHub에 저장하기로 결정했다고 믿습니다. 기술 분석 섹션에서 이미 보았듯이 두 임플란트의 코드베이스 측면에서 매우 유사하기 때문입니다.
- 이전 캠페인에서 위협 그룹이 2025년 상반기에 C++ 로더를 포함하는 악성 ZIP 파일을 사용하여 투르크메니스탄의 정부 기관을 표적으로 삼았던 것을 확인했으며, 중국-중앙아시아에 관련된 외교 및 기타 중요 기관을 표적으로 삼았을 때도 정확히 동일한 동작을 확인했습니다. 이는 그룹이 두 캠페인 모두에서 기본적으로 디스크에 페이로드를 삭제하는 동일한 TTP를 사용했음을 증명합니다. 미끼 목적의 자료가 전혀 없습니다.
- 초기 스피어피싱 압축 파일과 동일한 이름을 가진 페이로드 파일, 우리는 이 그룹이 중앙아시아 목표에 걸쳐 수행한 대부분의 캠페인에서 보았듯이 이 그룹이 특정 변경을 하기에는 너무 느리다고 생각하며 이로 인해 위협에 대한 고유한 패턴이 생성됩니다.
특정 패턴 기반 편견을 만들어내기 위해 사냥하는 개인. - 우리는 또한 두 캠페인 모두에서 이 그룹이 사용에 매우 집착한다는 것을 발견했습니다. Golang 기반 터널링 도구, 첫 번째 캠페인에서 RESOCKS를 배포한 반면, 이 캠페인에서는 Ligolo-Ng로 전환했는데, 두 도구 모두 다음과 같은 많은 기술적 유사점을 공유합니다. 암호화된 터널 지원, 프록시 체이닝글렌데일 플랫폼 간 호환성.
피해자학
- 저희가 발표한 초기 연구에서 이 위협 행위자는 주로 여러 중앙아시아 국가와 그 국가의 주요 인프라(정부 기관, 은행 부문, 그리고 유사한 지리적 구역에서 국가 간 인프라 프로젝트에 참여하는 기관 등)를 표적으로 삼는다는 것을 확인했습니다. 이 연구에서는 두 캠페인 모두에서 동일한 사실을 확인했는데, 러시아-아제르바이잔 관계와 중국-중앙아시아 관계를 표적으로 삼은 캠페인 간에 매우 공통적인 인프라 중심축이 발견되었으며, 이는 위협 행위자의 OPSEC(운영 보안) 오류로 추정됩니다.
- 우리는 위협 그룹이 주로 다음 사건에 관심이 있다고 믿습니다. 두샨베 회의와 같은 러시아-아제르바이잔 국가 원수들에게 프로젝트 중국-타지키스탄 고속도로와 베이징-두샨베 항공 연결 등 비즈니스 및 다양한 교류를 목표로 하는 노선이 있습니다. 따라서 피해자학 관점에서는 공격 대상 부문에 대한 신뢰도가 중간 수준으로 평가됩니다.
조기 개선.
올해 우리는 Silent Lynx가 중앙아시아 지리권에서 관심사가 되는 이벤트, 특히 인프라 거래와 더 많은 외교적 결정 및 개선이 관련된 정상회담을 타깃으로 삼는 것을 보았습니다.
우리는 이 그룹이 또한 다음과 같은 이벤트를 추적하고 있다고 믿습니다. 인도-중앙아시아 비서관들 10월에 회의를 개최할 예정입니다. 현재로서는 단순한 추측일 뿐이며, 이 회의에 참여한 기관들에 대한 조기 조치에 가깝습니다. 본 연구 발표 시점에는 그러한 움직임이 없었으나, 본 연구의 내용은 권고 사항으로 간주되어야 합니다.
맺음말
SEQRITE APT-Team이 1년 동안 연구해 온 Silent Lynx는 특정 외교 및 인프라 개발을 시작한 여러 국가를 대상으로 여러 캠페인에 연루되었으며, 여러 중앙아시아 국가들과 관련된 기타 중요 부문에도 관여한 것으로 결론지었습니다. 또한 러시아와 중국 기반 기관들도 공격 대상으로 삼았으며, 현재 매우 활발하게 활동하고 있습니다. 무기고에는 최소한의 변경만 가했을 뿐이며, 유사한 대화 중심 회의를 포함하는 기관들을 표적으로 삼을 가능성도 있습니다. Silent Lynx는 저비용 지속성을 위해 이중 계층 스크립트와 GitHub 호스팅 페이로드를 계속 활용할 것으로 예상됩니다.
SEQRITE 보호.
- 말젠트시알.
- 트로이 목마.50055.GC
- 박스터.50066.SL
- 트로이 목마.50056.GC
IOC(국제사회책임투자위원회)
| 해시(SHA-256) | 악성코드 유형 |
| ef627bad812c25a665e886044217371f9e817770b892f65cff5877b02458374e | RAR 파일 |
| 5b58133de33e818e082a5661d151326bce5eeddea0ef4d860024c1dbb9f94639 | RAR 파일 |
| 5bae9c364ee4f89af83e1c7d3d6ee93e7f2ea7bd72f9da47d78a88ab5cfbd5d4 | RAR 파일 |
| 72a36e1da800b5acec485ba8fa603cd2713de4ecc78498fcb5d306fc3e448c7b | LNK 파일 |
| 5e3533df6aa40e86063dd0c9d1cd235f4523d8a67d864aa958403d7b3273eaaf | LNK 파일 |
| b58f672e7fe22b3a41b507211480c660003823f814d58c04334ca9b7cdd01f92 | LNK 파일 |
| ae51aef21ea4b422ef0c7eb025356e45d1ce405d66afbb3f6479d10d0600bcfd | PowerShell을 |
| 0bce0e213690120afc94b53390d93a8874562de5ddcc5511c7b9b9d95cf8a15d | PowerShell을 |
| 821f1ee371482bfa9b5ff1aff33705ed16e0147a9375d7a9969974c43b9e16e8 | PowerShell을 |
| 262f9c63c46a0c20d1feecbd0cad75dcb8f731aa5982fef47d2a87217ecda45b | EXE |
| 123901fa1f91f68dacd9ec972e2137be7e1586f69e419fc12d82ab362ace0ba9 | EXE |
| 6cb54ec004ff8b311e73ef8a8f69b8dd043b7b84c5499f4c6d79d462cea941d8 | EXE |
| 97969978799100c7be211b9bf8a152bbd826ba6cb55377284537b381a4814216 | EXE |
| 9de8bbc961ff450332f40935b739d6d546f4b2abf45aec713e86b37b0799526d | EXE |
| b5a4f459bdff7947f27474840062cfce14ee2b1a0ef84da100679bc4aa2fcf77 | EXE |
| ffda4f894ca784ce34386c52b18d61c399eb2fc8c9af721933a5de1a8fff9e1b | EXE |
| 2c8efe6eb9f02bf003d489e846111ef3c6cab32168e6f02af7396e93938118dd | .NET 실행 파일 |
| 1531f13142fc0ebfb7b406d99a02ec6441fc9e40725fe2d2ac11119780995cd3 | .NET 실행 파일 |
| 67cf0e32ad30a594442be87a99882fa4ac86494994eee23bdd21337adb804d3f | .NET 실행 파일 |
| 036a60aa2c62c8a9be89a2060e4300476aef1af2fd4d3dd8cac1bb286c520959 | .NET 실행 파일 |
| 32035c9d3b81ad72913f8db42038fcf6d95b51d4d84208067fe22cf6323f133c | .NET 실행 파일 |
| a639a9043334dcd95e7cd239f8816851517ebb3850c6066a4f64ac39281242a3 | .NET 실행 파일 |
| a83a8eb3b522c4517b8512f7f4e9335485fd5684b8653cde7f3b9b65c432fa81 | .NET 실행 파일 |
| 26aca51d555a0ea6d80715d8c6a9f49fea158dee11631735e16ea75c443a5802 | .NET 실행 파일 |
| 303f03ae338fddfe77c6afab496ea5c3593d7831571ce697e2253d4b6ca8a69a | .NET 실행 파일 |
| 40d4d7b0bc47b1d30167dd7fc9bd6bd34d99b8e0ae2c4537f94716e58e7a5aeb | VBA |
| b0ac155b99bc5cf17ecfd8d3c26037456bc59643344a3a30a92e2c71c4c6ce8d | VBA |
| b87712a6eea5310319043414eabe69462e12738d4f460e66a59c3acb5f30e32e | ZIP |
| 호스트/IP 주소 |
| 업데이트-확인-microsoft[.]ddns[.]net |
| 카탈로그-업데이트-업데이트-microsoft[.]serveftp[.]com |
| hxxp://206.189.11[.]142/ |
| 62 [.] 113 [.] 66 [.] 137 |
| 62.[.]113[.]66[.]7 |
| 37 [.] 18 [.] 27 [.] 27 |
MITER ATT & CK
| 술책 | 기술 ID | 기술명 |
| 초기 접근/피싱 | T1566.001 | 스피어피싱 첨부 파일 |
| 실행 | T1204.001 | 사용자 실행: 악성 링크 |
| T1204.002 | 사용자 실행: 악성 파일 | |
| T1106 | 네이티브 API(CreateProcess / CreateProcessW) | |
| 고집 | T1053.005 | 예약된 작업/작업: Windows 작업 스케줄러 |
| 명령 및 스크립팅 인터프리터 | T1059.001 | PowerShell을 |
| 방어 회피 | T1027 | 난독화된 파일 또는 정보 |
| T1036 | 위장 | |
| 명령 및 제어 | T1071 | 애플리케이션 계층 프로토콜(HTTPS/웹 프로토콜) |
| T1095 | 비애플리케이션 계층 프로토콜(원시 TCP/사용자 정의 C2) | |
| 프록싱 및 터널링 | T1071 / T109 | 터널링/프록시(Ligolo-ng 사용) C2/mesh/tunnel |
| 여과 | T1041 / T1071 | C2 채널/애플리케이션 레이어를 통한 유출 |
참고자료
A1 : 신문 판매점
- 러시아와 아제르바이잔, 전략적 협력의 새로운 단계 예고 – Defensehere
- 두샨베, 푸틴 대통령과 독립국가연합(CIS) 지도자들을 맞이하다 – The Diplomat.
- 중국-중앙아시아 정상회담: 중국남방항공, 베이징과 두샨베를 잇는 직항편 신규 취항…
- 중국-중앙아시아 정상회담, 미래 협력 위한 새로운 청사진 그릴 것: 대변인
- 인도, 중앙아시아 국가들이 아프가니스탄과 협력해 안보 문제 해결에 나선다 | 최신 뉴스 인도
A2: 기존 공공 연구
- Silent Lynx APT 공개: 악성 캠페인을 통해 중앙아시아 국가를 표적으로 삼다
- VTPRACTITIONERS{SEQRITE}: UNG0002, Silent Lynx 및 DragonClone 추적 ~ VirusTotal 블로그.
- ShadowSilk: 데이터 유출을 위한 국경 간 바이너리 유니온 | Group-IB 블로그.
- zone/eng/expertise/blog/cavalry-werewolf-atakuet-rossiyu-cherez-doveritelnye-otnosheniya-mezhdu-gosudarstvami/.
- 바이러스 게시판 :: Silent Lynx: 중앙아시아의 사이버 스파이 활동 폭로
