내용의 표
- 개요
- 주요 목표
- 영향을 받는 산업
- 지리적 초점
- 감염 사슬
- 초기 발견
- 미끼 문서 조사하기
- 기술 분석
- 1단계 – 악성 실행 파일 분석
- 2단계 – 2단계 탑재물 투하 장치
- 인프라 및 속성
- 맺음말
- Seqrite 보호
- 침해 지표(IOC)
- MITRE ATT&CK 매핑
- 작성자
개요
SEQRITE Labs는 새로운 위협을 적극적으로 추적해 왔으며 최근 유라시아 무인 항공 분야의 전문가와 조직을 표적으로 삼는 캠페인을 확인했습니다. 이 캠페인은 무인 항공 시스템(UAS)에 초점을 맞춘 주요 국제 행사인 제13회 유라시아 국제 포럼 "무인 항공 2026"이 2026년 4월 23일 모스크바에서 개최될 예정인 시점에 맞춰 전략적으로 계획된 것으로 보입니다.
해당 캠페인은 스피어 피싱을 통해 악성 이메일 첨부파일을 유포하며, cai partner.zip이라는 압축 파일을 전송합니다. 이 압축 파일에는 러시아 항공정보센터(ЦАИ/CAI)에서 발행한 정식 주문 확인 문서로 위장한 Rust 기반 실행 파일이 포함되어 있습니다.
다음 섹션에서는 이 캠페인에 사용된 피싱 미끼를 분석하고 악성 실행 파일에 대한 기술적 분석을 진행합니다. 또한 파일이 어떻게 다운로드되고 2단계 페이로드를 실행하는지 살펴봅니다. 더불어 사용된 인프라 및 C2 통신을 검토하고, 마지막으로 관찰된 동작을 MITRE ATT&CK 전술 및 기법에 적용하여 분석합니다.
주요 목표
영향을 받는 산업
- 무인항공시스템(UAS/UAV) 분야
- 항공 정보 서비스
지리적 초점
- 러시아
- 타지키스탄
- 중앙 아시아
- 중동 및 유럽
감염 사슬
초기 발견
최근 진행 중인 캠페인을 조사하던 중, 공개 샌드박스인 VirusTotal에서 cai partner(1).zip이라는 의심스러운 ZIP 파일을 발견했습니다. 초기 관찰에서 해당 파일이 러시아에서 제출되었고, 우리의 탐지 규칙에 따라 처음 발견되었을 때 탐지된 항목이 없다는 것을 확인했습니다. 그러나 파일 이름과 내용이 의심스러워 우리의 주의를 끌었습니다.
추가 조사를 통해 우리는 cai partner.zip이라는 또 다른 압축 파일을 발견했는데, 이 파일은 미끼 문서와 악성 실행 파일의 주요 저장소 역할을 했습니다. 이 압축 파일의 내용을 추출해 보니 네 개의 파일이 들어 있었습니다. 그중 하나는 실행 파일이었습니다. "Подтверждение заказа продукции ЦАИ.exe", 이는 "CAI 제품 주문 확인.exe”.
해당 압축 파일에는 실행 파일 외에도 PDF, DOCX, XLSX 파일 등 합법적인 업무 관련 문서처럼 보이도록 설계된 여러 개의 위장 문서가 포함되어 있습니다.
미끼 문서 조사하기
PDF 유인 문서
우리의 눈길을 끈 첫 번째 문서는 압축 파일에서 추출한 PDF 파일입니다. 이 파일의 이름은 '번역 증명서.PDF'이며, 합법적인 증명서처럼 보이도록 제작되었습니다.
문서를 살펴보니 공식 번역 증명서로 되어 있었습니다. 문서 번호, 날짜, 번역가 이름, 서명, 회사 정보(SOMON TRANSLATIONS, 타지키스탄 두샨베)와 같은 세부 정보와 함께 진위성을 높이기 위한 도장과 인장이 찍혀 있었습니다.
따라서 여러 언어 사용, 형식적인 구조, 공식적인 도장과 서명 등 문서의 세부 사항을 살펴보면, 이 사기성 메일은 국제 비즈니스 또는 번역 관련 활동에 종사하는 전문가들을 겨냥한 것으로 보입니다.
DOCX 유인 문서
문서를 분석한 결과, 'CAICA 제품 주문 확인 및 무인 항공 2026 포럼에서 결제 세부 정보 논의 및 장기 계약 체결을 위한 회의 준비.docx'라는 이름의 이 파일이 악성 실행 파일이 실행된 직후 피해자에게 표시된 문서와 유사함을 확인했습니다.
다음 섹션에서는 이 문서를 자세히 분석하고, 실행 중에 실행 파일이 이 문서를 어떻게 생성하는지 보여드리겠습니다.
XLSX 루어 문서
아카이브에서 확인된 세 번째 문서는 summary_order_cai_final.xlsx라는 이름의 엑셀 파일입니다.
해당 파일을 분석한 결과, 항법 데이터베이스, NOTAM 데이터 세트, 전자 AIP 모음, 보잉 737과 같은 항공기용 기내 시스템 등 항공 관련 제품의 상세 목록이 포함되어 있음을 확인했습니다. 또한 문서에는 수량, 라이선스 세부 정보, 업데이트 주기 및 사용 관련 참고 사항이 명시되어 있어 합법적인 주문 요약서처럼 보입니다.
이 문서는 세부적인 내용과 업계 전문 용어의 사용으로 미루어 보아 항공 전문가 및 관련 기관을 대상으로 작성된 것으로 보인다.
기술 분석
이 섹션에서는 ZIP 압축 파일에서 추출한 파일에 대한 기술적 분석을 살펴보겠습니다. 발견된 실행 파일의 이름은 Подтверждение заказа продукции ЦАИ.exe이며, 이는 다음과 같이 번역됩니다. "CAI 제품 주문 확인서.exe"
정적 분석 도구를 사용하여 메타데이터를 검토한 결과, 이 파일은 Rust 프로그래밍 언어로 컴파일된 64비트 Windows 실행 파일임을 확인했습니다. 이후 실행 파일의 악성 기능을 두 단계로 나누어 분석했습니다. 첫 번째 단계에서는 실행 파일이 피해자 시스템에서 수행하는 활동에 초점을 맞추고, 두 번째 단계에서는 공격자가 피해자 시스템에 다운로드하려는 내용에 따라 원격 서버에서 2단계 페이로드를 다운로드하고 드롭하는 방식을 분석합니다.
1단계 – 악성 실행 파일 분석
처음에 악성 실행 파일을 조사했을 때, 위에서 언급한 바와 같이 피해자의 주의를 분산시키는 미끼 역할을 하는 .docx 파일을 실행하는 것을 발견했습니다.
미끼 문서 실행
실행 파일 내에 문서가 명시적으로 포함되어 있는 것을 확인했습니다. 실행 직후, 이 문서는 사용자의 화면에 표시되어 피해자의 주의를 분산시키고 악성 프로그램이 아닌 것처럼 보이게 합니다.
이 미끼 문서는 러시아어로 작성된 사업 관련 메시지 내용이며, "Olimov JM"이라는 서명이 있습니다. 이는 장기적인 사업 거래에 관련된 항공 회사에서 보낸 실제 메시지처럼 보이도록 제작되었습니다.
이 메시지에는 Aerolotsia PRO 라이선스, NOTAM 데이터베이스, 러시아 및 CIS 지역 항공정보시스템(AIP), 보잉 737, IL-76, 보잉 777F 등의 항공기용 항공 차트와 같은 항공 관련 제품이 언급되어 있습니다. 태블릿 라이선스도 포함되어 있습니다. 라이선스 번호와 지역을 포함한 상세한 내용으로 인해 메시지가 매우 현실적으로 느껴집니다.
또한 해당 메시지에는 4월 23일 모스크바에서 열릴 예정인 "무인 항공 2026" 행사에 대한 언급도 포함되어 있어, 위협 행위자가 이 행사에 참석할 가능성이 있는 러시아어 사용자를 특별히 표적으로 삼고 있음을 시사합니다.
시스템 지문 인식
미끼 문서를 실행한 후, 악성 프로그램은 즉시 시스템 정보를 수집하여 고유한 피해자 프로필을 구축하기 시작합니다.
이 악성 프로그램은 GetComputerNameExW 함수를 사용하여 컴퓨터 호스트 이름을 가져오고, GetVolumeInformationW 함수를 사용하여 C: 드라이브 볼륨의 일련 번호를 가져옵니다. 그런 다음 이 값들을 XOR 연산으로 결합하고 십진수 문자열로 변환하여 피해자 시스템의 고유한 식별자를 생성합니다.
환경 및 네트워크 정찰
악성 프로그램은 피해자의 컴퓨터에 고유 ID를 생성한 후 시스템 및 네트워크에 대한 추가 정보를 수집합니다. 이 단계는 내부 모듈에 의해 처리되며 사용자 및 네트워크 세부 정보 모두에 초점을 맞춥니다.
먼저 악성 프로그램은 중요한 환경 변수를 수집합니다.
- USER – 현재 로그인한 사용자의 사용자 이름
- USERDNSDOMAIN – 도메인 이름
- 컴퓨터 이름 – 시스템 호스트 이름
- USERPROFILE – 사용자의 프로필 경로
다음으로, 악성 프로그램은 네트워크 정보를 수집합니다. GetAdaptersAddresses 명령어를 사용하여 모든 네트워크 어댑터를 스캔하고 IPv4 주소를 추출합니다. 추출된 IP 주소는 InetNtopW 명령어를 사용하여 읽기 쉬운 형식으로 변환됩니다. 또한 어댑터 이름과 DNS 관련 정보도 수집합니다.
이렇게 수집된 모든 데이터는 정리되어 명령 및 제어(C2) 서버로 전송될 준비를 마칩니다.
여과
이 악성 프로그램은 피해자의 모든 정보를 수집하고 serde_json이라는 라이브러리를 사용하여 JSON 형식으로 변환합니다. 각 데이터를 키-값 쌍으로 추가하여 JSON을 단계적으로 구축합니다.
악성 프로그램은 JSON 데이터를 생성한 후 간단한 XOR 연산을 사용하여 암호화합니다. 그런 다음 암호화된 데이터를 HTTPS(포트 443)를 통해 HTTP POST 요청으로 서버 cdn[.]kleymarket[.]ru로 전송합니다.
2단계 – 2단계 탑재물 투하 장치
두 번째 단계에서는 악성코드가 데이터 수집에서 최종 페이로드 전달로 전환하는 과정을 살펴보겠습니다. 악성코드는 C2 서버로부터 암호화된 응답을 수신한 후, 여러 단계의 복호화 알고리즘을 사용하여 페이로드를 복호화하고 추출합니다. 그런 다음 악성코드는 추출한 페이로드를 임의의 파일 이름으로 지정된 디렉터리 중 하나에 저장하고 피해자 시스템에서 실행합니다.
페이로드 복호화
C2 서버에서 전송되는 암호화된 페이로드는 여러 단계를 거쳐 복호화됩니다. 악성 프로그램은 먼저 서버 응답에서 두 개의 값을 추출하여 AES 키로 사용합니다. 그런 다음 AES-256 암호화 방식을 사용하여 페이로드를 블록 단위로 복호화합니다.
페이로드 투하 및 실행
악성코드는 페이로드를 복호화한 후, 문자와 숫자를 사용하여 임의의 6자리 파일 이름을 생성하고 .exe 확장자를 추가합니다. 악성코드는 NtWriteFile 함수를 사용하여 페이로드를 디스크에 직접 기록합니다. 파일은 다음 위치 중 하나에 저장됩니다.
- %USERPROFILE%\Documents\ .exe
- C:\Users\Public\Documents\ .exe
마지막으로, 악성코드는 CreateProcessA API를 사용하여 복호화된 페이로드를 실행합니다. 드롭된 실행 파일의 전체 경로가 부모 애플리케이션 이름 없이 명령줄에 직접 전달되어 피해자 시스템에서 새 프로세스를 시작합니다.
다음 섹션에서는 캠페인의 인프라 및 기여도 분석 측면을 살펴보겠습니다.
인프라 및 속성
본 공격 캠페인에 사용된 명령 및 제어(C2) 인프라를 분석한 결과, 도메인 hxxp://kleymarket[.]ru가 분석 시점으로부터 불과 9일 전에 등록된 것을 확인했습니다. 조사 당시 해당 도메인은 어떤 보안 업체에서도 악성 도메인으로 분류되지 않았습니다.
수동 DNS 데이터에 따르면 해당 도메인은 시간이 지남에 따라 다음과 같은 여러 IP 주소로 확인된 것으로 나타났습니다.
45[.]142[.]36[.]76, 92[.]62[.]113[.]232, and 89[.]108[.]110[.]154
2026년 04월 2일자 최신 결의안에 따르면 45[.]142[.]36[.]76이 이 캠페인에 사용된 활성 C02 서버인 것으로 보입니다. 반면, 2019년의 이전 기록에 따르면 해당 도메인은 이 활동에 재사용되기 전에 다른 용도로 사용되었던 것으로 나타납니다.
추가 분석을 사용하여 발리딘 해당 도메인과 관련 서브도메인이 IP 주소 45[.]142[.]36[.]76으로 확인됨을 확인했습니다. 이 IP 주소는 이번 캠페인에 사용된 활성 C2 인프라인 것으로 보입니다. 이 IP 주소는 러시아의 자율 시스템인 AS48347(MTW-AS)에 호스팅되어 있으며, 대략적인 위치는 러시아 모스크바입니다.
이 글을 작성하는 시점에는 이 캠페인을 특정 위협 행위자의 소행으로 단정할 수는 없습니다. 그러나 관찰된 전술, 기반 시설 및 사회 공학적 요소들을 종합해 볼 때, 이 캠페인은 치밀하게 계획되고 표적화된 작전이었을 가능성이 높습니다. 은밀한 공격 방식과 항공 분야를 표적으로 삼았다는 점을 고려하여, 이 캠페인을 "작전명: 사일런트 로터(Operation Silent Rotor)"라고 명명했습니다. 이 캠페인은 모스크바에서 개최되는 "무인 항공 2026" 포럼과 시기를 맞춰 진행된 것으로 보이며, 이는 해당 행사에 참석하거나 관련될 가능성이 높은 항공 전문가들을 주요 표적으로 삼았음을 시사합니다.
맺음말
SEQRITE Labs는 유라시아 무인 항공 분야 전문가들을 대상으로 하는 표적 스피어 피싱 공격을 확인했습니다. 이 공격은 실제 항공 관련 문서처럼 보이는 자료를 사용하여 피해자의 신뢰를 얻으려 하며, 모스크바에서 열리는 "무인 항공 2026" 포럼 링크를 포함하고 있습니다. 유포되는 악성코드는 Rust 기반 실행 파일로, 시스템 정보를 수집하고 암호화된 HTTPS를 통해 원격 서버와 통신하며, 2단계 페이로드를 다운로드하여 실행합니다.
이 캠페인에 사용된 인프라는 최소한이며 수명이 짧고, 새로 등록된 .ru 도메인에 의존합니다. 현재로서는 이 캠페인이 알려진 위협 행위자와 연관되어 있다고 판단하지 않습니다. 그러나 러시아어로 된 미끼와 상황별 콘텐츠를 사용한 점으로 미루어 볼 때, 이 캠페인은 지역적으로 특정 생태계 내의 피해자를 대상으로 하는 것으로 보입니다.
Seqrite 보호
Trojan.Win64
침해 지표(IOC)
| 해시(SHA-256) | 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에 |
| 5936f42ffd7fa7896eeae725b60a5d26bbf3e584712671ef5da0138ee5d58f60 | Подтверждение заказа продукции ЦАИ.exe |
| fdef9e489f773319f55f92f712d1b7b5447d59a632b8f4173d1b161d3759ad92 | cai 파트너(1).zip |
| 57e26f6e3b311a1064c946b69159ee05abedf9228b2f95c65536429e7ac7fb24 | 카이 파트너.zip |
| a7bd8869293212e1671df90d2d41b96d4933eb9408b1111bd830e111a91bb202 | 번역 증명서.PDF |
| 2064ef387ac9e51ba72b32004d99e8a0b291dbab24ed8db30f437abf1b40cb49 | CAICA 제품 주문 확정 및 무인항공기 2026 포럼에서 결제 세부 사항 논의 및 장기 계약 체결을 위한 미팅 일정 조율.docx |
| 89f8e42c825d09a0a50e99bbf7304d7037be33ea362a57d34f87fa7981f80126 | summary_order_cai_final.xlsx |
URL이
| 45 [.] 142 [.] 36 [.] 76 |
| cdn[.]kleymarket[.]ru |
MITRE ATT&CK 매핑
| 술책 | 기술 ID | 기술명 |
| 초기 액세스 | T1566.001 | 피싱: 스피어피싱 첨부 파일 |
| 실행 | T1204.002 | 사용자 실행: 악성 파일 |
| 실행 | T1059.003 | 명령 및 스크립팅 인터프리터: Windows 명령 셸 |
| 실행 | T1106 | 네이티브 API |
| 방어 회피 | T1036.004 | 가장 무도회: 적법한 이름 또는 위치 일치 |
| 방어 회피 | T1027 | 난독화된 파일 또는 정보 |
| 방어 회피 | T1140 | 파일 또는 정보의 난독화/디코드 |
| 발견 | T1082 | 시스템 정보 검색 |
| 발견 | T1016 | 시스템 네트워크 구성 검색 |
| 발견 | T1033 | 시스템 소유자/사용자 검색 |
| 발견 | T1083 | 파일 및 디렉토리 검색 |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 |
| 명령 및 제어 | T1090.001 | 프록시: 내부 프록시 |
| 여과 | T1041 | C2 채널을 통한 유출 |
| 영향 | T1105 | 인그레스 도구 전송 |
작성자
프리야 파텔
라야파티 락슈미 프라산나 사이
