저자 : Dixit Panchal, 소우멘 버마, 카르틱 지바니
차례
- 소개 :
- 초기 분석:
- 미끼 분석:
- 감염 사슬:
- 기술적 분석 :
- 인프라 탐색:
- 결론 :
- Seqrite 적용 범위:
- IoC:
- 미터 공격:
소개 :
Seqrite Lab은 전 세계 사이버 위협 활동을 적극적으로 모니터링해 왔으며, 최근 미국에 위치한 명령제어(C2) 인프라를 활용하는 지속적인 캠페인을 발견했습니다. 이 작전의 배후에 있는 위협 행위자들은 핀테크, 암호화폐 거래소, 거래 플랫폼 분야, 특히 엔지니어링 및 기술 직종에서 취업 기회를 찾는 중국인들을 표적으로 삼고 있습니다.
이 캠페인은 주로 정교한 스피어피싱 기법을 사용합니다. 공격자는 구직자를 사칭하여 고도로 표적화된 이메일을 작성하여 중국 기업의 인사부와 기술 채용팀에 전송합니다. 이러한 이메일에는 겉보기에 합법적인 이력서나 포트폴리오 문서에 악성 .LNK(Windows 바로 가기) 파일이 삽입된 경우가 많습니다. 이러한 .LNK 파일이 실행되면 드로퍼 역할을 하여 초기 침투를 용이하게 하는 페이로드 실행을 시작합니다.
초기 분석:
캠페인을 자세히 분석한 결과, 배포된 악성코드가 손상된 시스템 내에서 지속성을 확보하고 다양한 정찰 활동을 수행하는 것으로 확인되었습니다. 여기에는 스크린샷 캡처, 클립보드 콘텐츠 수집, 중요 시스템 메타데이터 유출 등이 포함됩니다. 수집된 데이터는 위협 행위자가 제어하는 원격 명령 및 제어(C2) 서버로 은밀하게 전송됩니다. 이렇게 유출된 정보는 지능형 사이버 스파이, 신원 도용, 그리고 자격 증명 유출 위험을 크게 증가시켜 조직 인프라와 개인 정보 보호에 심각한 위협을 초래합니다.
미끼 분석:
기본적으로 PDF는 중국어 이력서입니다., 어느 포함하는 경험 as 고처리량 거래 시스템 및 DeFi/스마트 컨트랙트 프로젝트 구축 경험을 보유한 시니어 백엔드/블록체인 풀스택 엔지니어(Java + Solidity). 학사 학위 소지자입니다. 华南农业대학생 – 남중국 농업대학교 (2008–2012), 작업 이력 惠州 and 선전 (G우앙둥성)에서 창업자/기술 책임자 역할을 포함한 다양한 암호화폐/DeFi 및 고동시성 거래 시스템 프로젝트를 담당했습니다. 이력서는 Spring Cloud 마이크로서비스에 중점을 두고 있습니다. 큰 괴조켓MQMySQL, Solidity/Hardhat, 거래소 및 DeFi 프로토콜에 대한 생산 경험(TVL 및 고객 수가 주장됨).
원산지/국가를 찾는 증거:
- 언어: 전체 문서는 중국 본토에서 흔히 쓰이는 간체 중국어로 작성되었습니다.
- 대학에서 발생: 华南农业大school(화남농업대학교)— 중국 광동성에 위치한 대학입니다.
- 근무지/회사: 이력서에 惠州(후이저우)와 深圳(선전)이 언급되어 있습니다. 두 도시 모두 중국 광둥성에 있습니다. “惠州智灰兔科技”와 같은 회사 이름한정 (Huizhou Zhihuitu Technology Co., Ltd.)” 및 “惠州市睿思通网络科技”한정 (후이저우 루이시통 네트워크 기술 유한회사)”는 중국 기업을 가리킨다.
이력서는 중국인 타깃에 맞춰 현지화되어 신뢰성이 높습니다. 중국어, 중국 대학, 그리고 현지 회사명 덕분에 중국 사용자들이 이력서를 신뢰할 수 있습니다. 이는 사용자가 이력서를 열람할 가능성을 높입니다(소셜 엔지니어링).
감염 사슬:
기술적 분석 :
다운로드된 바로가기 李汉彬.lnk에 대한 초기 정적 분석 과정에서 PowerShell 명령줄 페이로드와 일치하는 260자 이상의 문자열을 발견했습니다. 해당 명령은 대상 파일 경로를 참조하는 것으로 보이며(스냅샷 참조), 이는 LNK가 후속 PowerShell 기반 단계의 드로퍼/실행 벡터 역할을 할 수 있음을 시사합니다.
초기 분석 및 코드 구문 분석 중에 다음과 같은 주목할 만한 지표를 발견했습니다. 샘플은 추가 파일을 다운로드할 수 있는 것으로 보입니다(스냅샷 참조).
샘플은 pan.tenire.com에 연결하여 미끼 이력서 문서, keytool.exe, CreateHiddenTask.vbs, jli.dll을 포함한 추가 아티팩트를 다운로드합니다.
보안 환경에서 샘플 LNK를 실행했을 때 두 번째 단계 페이로드가 다운로드되었습니다. C:\사용자\ \AppData\로밍\보안 그리고 그것을 실행했습니다.
또한, 이 악성코드는 CreateHiddenTask.vbs 스크립트를 통해 예약된 작업을 배포합니다. 이 작업은 매일 오전 8시에 keytool.exe를 실행하도록 설계되어 악성 페이로드의 지속성과 정기적인 실행을 보장합니다.
VBScript는 COM 개체(WScript.Shell, Schedule.Service, Scripting.FileSystemObject)를 인스턴스화하고 작업 스케줄러에 연결하며 "라는 이름의 일일 예약 작업을 프로그래밍 방식으로 생성합니다.보안”(트리거 유형 = 매일, StartBoundary = 2025-08-01T08:01:01, DaysInterval = 1)의 동작은 %APPDATA%\Security\keytool.exe(ExpandEnvironmentStrings를 통해 생성됨)를 실행합니다. 또한 작업 등록 메타데이터를 Author = "Microsoft Corporation"(양성 작성자를 스푸핑할 가능성이 높음)으로 설정하고 루트 폴더에 작업을 등록한 후 VBScript 파일 자체를 삭제하여 법의학적 추적을 줄입니다. 이를 통해 삭제된 페이로드의 지속적이고 예약된 실행을 효과적으로 제공합니다.
Keytool 및 Jli.dll 분석
keytool.exe를 분석한 결과, 아래 그림과 같이 JLI_CmdToArgs, JLI_GetStdArgc, JLI_GetStdArgs 등 Jli.dll의 다양한 내보내기 함수를 호출하는 것으로 나타났습니다.
로더 Jli.dll을 분석한 결과, 이 로더는 자체 실행 파일(keytool.exe)을 조용히 열고 PE 헤더에서 파생된 특정 영역을 읽고 해당 영역에서 고유한 8바이트 마커 시퀀스를 검색한다는 것을 발견했습니다. 1C 3B 7E FF 1C 3B 7E FF마커를 찾으면 그 이후의 모든 내용이 버퍼에 복사되어 암호화된 페이로드로 처리됩니다. 그런 다음 함수는 256바이트 S-박스를 구성하고 표준 RC4 루틴을 실행합니다. 이 루틴은 ASCII 키 "123cba"로 시드를 지정한 KSA(키 스케줄링)와 복사된 바이트를 키스트림과 XOR 연산하여 복호화된 페이로드를 생성하는 PRGA(키스트림 생성)로 구성됩니다.
Keytool.exe 내부에는 암호화된 셸코드 페이로드가 있습니다. 즉, 악성 코드가 숨겨져 있고 암호화되어 있어 정적 분석으로는 즉시 감지할 수 없습니다.
셸코드가 복호화되면(런타임에 메모리에서) 내장된 명령 및 제어(C2) 서버 주소가 공개됩니다. 206.119.175.16.
복호화 후, 루틴은 페이로드를 준비하고 실행하는 것으로 보이는 일련의 도우미 함수(아마도 프로세스/핸들을 생성 또는 복제하고 복호화된 데이터를 주입 또는 실행하는 것)를 호출하고, 프로세스 관련 정리 작업을 몇 가지 수행한 후, 마지막으로 실행 동기화를 위해 핸들을 기다립니다. 간단히 말해, 이 루틴은 마커 기반 추출과 고정 키를 사용한 RC4 복호화를 결합한 소형 자체 추출 로더로, 메모리 내 페이로드를 삭제한 후 완료를 기다리는 동안 실행을 트리거합니다.
2의 분석nd 탑재체(ValleyRAT)
우리의 분석에 따르면 2개가 발견되었습니다.nd 페이로드 파일에서 ValleyRAT 코드가 포함되어 있는 것을 발견했습니다.
시스템 지문
CPU 정보, 사용자 이름, 화면 해상도, 포트 번호, 가동 시간, NIC 세부 정보, MAC, 로케일, VM 검사, 레지스트리 값 및 기타 식별자를 수집합니다.
| 함수 | 한 줄 목적 | 노트 | ||
| 하위 1000BAD5 | HKLM\\…\\Tds\\tcp를 열고 PortNumber DWORD를 읽고 10진수 + \\r\\n을 추가합니다. | …\\Tds\\tcp\\PortNumber를 읽습니다. | ||
| 서브_1000BB8B | GetTickCount()를 읽고 형식화된 가동 시간(일/시간/분) + \\r\\n을 추가합니다. | 간단한 가동 시간 지문입니다. 양성이지만 정찰에 유용합니다. | ||
| 하위_1000BC16 | HKCU\\Software\\Tencent\\Plugin\\VAS 하위 키(6~11자)를 열거하거나 숫자 디렉터리 이름을 찾기 위해 사용자 폴더를 검색합니다. 공백으로 구분된 결과 + \\r\\n을 추가합니다. | QQ/Tencent 계정이나 숫자 ID에 대한 지문을 수집하고, Tencent 키나 폴더 스캔에서 숫자 디렉터리 이름을 열거하는 것을 감지합니다. | ||
| 하위_1000BEEE | NetBIOS(NCBENUM/NCBRESET/NCBASTAT)를 사용하여 NIC MAC을 얻고 XX-XX-…를 포맷하고 + \\r\\n을 추가합니다. | MAC을 읽기 위한 레거시 NetBIOS 호출은 최신 앱에서는 흔하지 않습니다. NetBIOS NCB 사용을 모니터링합니다. | ||
| 하위_1000C07D | 장치 클래스 레지스트리에서 기본 NIC DriverDesc를 읽고 \\r\\n을 추가하려고 시도합니다. | |||
|
Maps GetSystemDefaultUILanguage()를 저장된 로케일 문자열에 추가하고 + \\r\\n(로케일 지문)을 추가합니다. | UI 언어가 대만어, 중국어 본토, 홍콩, 싱가포르, 마카오 또는 영어(미국/영국)인지 확인합니다. |
안티 VM 트릭
Valleyrat 맬웨어는 VirtualBox/VMware 프로세스나 VMware 레지스트리 키를 찾아 가상화를 확인합니다.
AV 회피
COM/WMI를 활용하여 ROOT\SecurityCenter2에서 AntiVirusProduct를 쿼리하고, SELECT * FROM AntiVirusProduct를 실행하고, 각 displayName을 검색한 다음 결과를 변환/정규화합니다.
그런 다음 감지된 AV 제품을 찾아 제거하는 기능을 호출합니다.
AV 네트워크 연결을 끊습니다
이 기능은 동적으로 해결되는 API를 사용하여 시스템의 TCP 연결 테이블을 반복적으로 쿼리합니다.
"와 관련된 프로세스를 식별합니다.360안전”, "킹소프트"및 “화롱”소유 프로세스 경로를 확인하여.
일치 항목이 발견되면 상태를 설정하여 TCP 연결을 강제로 종료합니다. 삭제_TCB.
전반적으로 보안 소프트웨어의 네트워크 활동을 방해하도록 설계된 안티-AV 루틴입니다. 아래 그림과 같습니다.
명령을 통한 탈출 활동
이 변종은 시각적인 사용자 활동(스크린샷/녹음)을 캡처하고 피해자의 컴퓨터에 플러그인이나 기타 악성 페이로드를 전달하고 설치하도록 설계되었습니다.
다음은 몇 가지 명령입니다
| 오프셋(Opcode) | 기술설명 |
| 0x78 (120) | IP 목록 저장 |
| 0x7B(123) | 세션/HWID |
| 0x7D (125) | 파일/전송 핸들러 |
| 0x83 (131) | 플러그인 업데이트(216바이트 헤더) |
| 0x84 (132) | 플러그인 설치/추가 |
| 0x85 (133) | 필터 관리 |
| 0x86 (134) | 스크린샷 구성 |
| 0x87 (135) | 클립보드 구성 |
| 0x88 (136) | 키로거 제어 |
| 0x89 (137) | 녹음/정리 |
| 0x8A(138) | BoxedApp SDK 초기화 |
| 0xA1 (161) | 형식/경로 프레임 |
| 0xA2 (162) | 셀프 제거 |
| 0xA4 (164) | 그룹/비고 문자열 |
| 0xA5 (165) | 정보 동기화 |
| 0xA6 (166) | UI "괜찮아요" |
| 0xA7 (167) | 콘솔 프로필 |
| 0xC8(200) | 전송/소켓 설정 |
악성코드의 키로깅 기능
전용 디렉토리와 로그 파일을 생성하여 로깅 환경을 준비합니다.Regedit.log) ProgramData에서 파일이 너무 커지면 간단한 로그 회전을 수행하고, 버퍼링된 입력 모델을 사용하여 키 입력을 캡처하기 위해 DirectInput 키보드 장치를 초기화합니다. 또한 정확한 키 해석을 위해 시작 시 Caps Lock 상태를 기록합니다.
시스템 정찰 루틴
Valleyrat에는 시스템 환경 조사 루틴 레지스트리 키, 보안 설정, 파일 경로, 사용자 정의 드라이버 핸들을 조사하여 호스트 정보를 수집합니다.
이는 다음과 같은 사항을 나타내는 일련의 기능 플래그(a1[26..39])를 설정합니다. UAC 모드, AV/드라이버 존재, 키로거/클립보드/스크린샷 토글 및 단일 인스턴스 뮤텍스 상태.
이는 맬웨어가 결정하는 데 도움이 됩니다. 어떤 기능을 활성화해야 하는지, 어떤 보호 기능이 있는지, 이미 실행 중인지 여부UAC 모드, AV/드라이버 존재, 키로거/클립보드/스크린샷 토글과 같은 기능을 나타내는
| 색인 | 무엇을 확인하나요? | 확인 방법 | 설정 시 의미 (=1) |
| 아1[26] | 현재 사용자를 위한 IE 구성이 있습니다. | HKCU\Software\Microsoft\Internet Explorer(sub_10009F0E를 통해)를 읽습니다. | IE 설정 값이 존재합니다(문자열 ptr이 null이 아님) |
| 아1[27] | 보안 하이브를 열 수 있는 기능 | RegOpenKeyExW(HKLM, "보안", KEY_READ | …)` |
| 아1[28] | UAC 보안 데스크톱 프롬프트가 활성화됨 | HKLM\…\정책\시스템\PromptOnSecureDesktop == 1 | 권한 상승 프롬프트에 대한 보안 데스크톱이 켜져 있습니다. |
| 아1[29] | 360 HVM 서비스 자동 시작 | HKLM\SYSTEM\ControlSet001\Services\360Hvm\시작 | 값 == 1(시스템/자동 시작) ⇒ 360 드라이버/서비스가 있음 |
| 아1[30] | OS 문자열에 "Windows"가 포함되어 있습니다. | sub_1000B109를 통해 버퍼를 채우고 wcsstr(…,”Windows”)을 검색합니다. | 호스트 OS가 Windows처럼 보입니다 |
| 아1[31] | 사용자 정의 장치 핸들이 존재합니다 | CreateFileW(“\\\\.\\kcuf063Gate”, …) | 해당 장치(아마도 루트킷/드라이버 통신 게이트)를 열 수 있습니다. |
| 아1[32] | "KEYLOG" 기능 토글 | "%APPDATA%\\A686911000006E", "키로그") | 키로깅 폴더/키 존재/활성화됨 |
| 아1[33] | "클립보드 데이터" 기능 토글 | "clipboarddata"를 사용한 동일한 경로 조회 | 클립보드 캡처가 활성화되었습니다. |
| 아1[34] | "picshotdata" 기능 토글 | "picshotdata"로 동일한 경로 조회 | 화면/웹캠 스냅샷 활성화됨 |
| 아1[35] | VM 경로 바이트/플래그 | %APPDATA%\A686911000006E\vmpath를 빌드하고 sub_1000CF52/sub_1000AA91을 통해 구문 분석합니다. | 추출된 바이트 세트를 글로벌 + 이 플래그에 복사했습니다. |
| 아1[36] | "녹음" 하위 키가 존재합니다. | HKCU에서 %APPDATA%\A686911000006E\Recording을 엽니다. | 녹음 구성이 있습니다 |
| 아1[37] | 단일 인스턴스 뮤텍스가 존재합니다 | CreateMutexW(“Global\\A2F1A73B-…E754C”), GetLastError()==ERROR_ALREADY_EXISTS를 확인합니다. | 다른 인스턴스가 실행 중이거나(또는 그 자체를 그렇게 표시함) |
| 아1[38] | 필터 규칙이 활성화되었습니다. | %APPDATA%\A686911000006E\FILTER\keyword 또는 …\FILTER\netaddr을 "0"으로 검사합니다. | "0"이 아닌 모든 필터가 활성화됨 |
| 아1[39] | "중지" 킬 스위치 | v18에서 %APPDATA%\A686911000006E\FILTER\stop을 읽습니다. | 0이 아닌 바이트 ⇒ 중지/비활성화 동작 |
인프라 탐색:
C2 인프라를 분석한 결과, SONDERCLOUDLIMITED(SonderCloud Limited)에서 호스팅되는 것으로 확인되었습니다. 또한, 관련 도메인 중 일부는 홍콩에 위치한 IP 주소로 확인되었습니다. 확인된 모든 도메인은 .work TLD를 사용하며, 위협 행위자들이 적극적으로 활용하고 있습니다.
이력서 유인물과 악성 페이로드를 유포하는 데 사용된 pan.tenire.com 도메인 외에도, 206.119.175.162(AS133199, SonderCloud Limited, Hong Kong)에서 더 광범위한 인프라 클러스터를 확인했습니다. 20개 이상의 형제 도메인(app.jinanjinyu.work, app.maitangou.work, app.jiangsuzhaochu.work, app.rongxingu.work, app.xinrendu.work, app.owps.work, app.awps.work)이 동일한 IP를 가리키는 것으로 확인되었습니다. 일관된 명명 규칙(app.*.work)과 .work TLD 사용은 이러한 도메인들이 구직 포털이나 구직 지원서를 사칭하려는 의도였음을 강력하게 시사하며, 이력서를 주제로 한 유인물에 잘 들어맞습니다. 이는 주제별, 복원력 있는 인프라 세트를 구축하려는 의도적인 노력을 시사합니다. 실크 루어 작전.
결론: 실크 루어 작전을 선택한 이유는?
"실크" = 중국 관련 발자국, "루어" = 피해자를 유혹하는 데 사용되는 이력서 미끼.
이 캠페인의 이름을 Operation Silk Lure: Scheduled Tasks Weaponized for DLL Side-Loading으로 지은 이유는 레이블의 각 요소가 관찰 가능하고 증거가 뒷받침되는 TTP에 직접 매핑되기 때문입니다. "Silk"는 캠페인의 중국 중심적 발자취(Tencent Cloud/DNSPod 및 중국어 병음 도메인 이름에서의 간체 중국어 이력서 미끼, 호스팅 및 DNS 활동)를 나타내고, "Lure"는 사회 공학적 벡터(개발자, 채용 담당자 및 HR을 속여 파일을 열게 하는 데 사용되는 믿을 만한 이력서)를 나타내며, "Scheduled Tasks"는 복구한 지속성 메커니즘(보안이라는 이름의 일일 작업 스케줄러 작업을 등록하는 삭제된 CreateHiddenTask.vbs)을 가리키고, "DLL Side-Loading"은 실행 후 기술(악성 DLL을 사이드 로딩하는 keytool.exe 로더)을 강조합니다.
이름은 의도적으로 설명적이고 추측적이지 않습니다. 모든 토큰은 관찰된 아티팩트나 동작에 해당하므로 pan.tenire.com DNS 쿼리와 -NoP -ep를 찾는 방어자가 즉시 조치를 취할 수 있습니다. PowerShell 명령줄, %APPDATA%\Security\* 아티팩트, 보안 예약 작업, keytool.exe에 연결된 비정상적인 ImageLoad 이벤트가 우회됩니다.
Seqrite 적용 범위:
- 가나라바.17599037699ce501
- 트로이 목마.50027.GC
- 트로이 목마.50026.GC
IoC:
| MD5 | 사진이름 |
| 6ea9555f1874d13246726579263161e8 | CreateHiddenTask.vbs |
| f5b9ad341ccfe06352b8818b90b2413e | 이수석.lnk |
|
83b341a1caab40ad1e7adb9fb4a8b911 |
83b341a1caab40ad1e7adb9fb4a8b911.zip |
| 3ca440a3f4800090ee691e037a9ce501 | jli.dll |
| e94e7b953e67cc7f080b83d3a1cdcb1f | 키툴.exe |
C2 :
- 206.119.175.65
- 206.119.175.178
미터 공격:
| 초기 액세스 | T1566.001 | 스피어피싱 첨부 파일 |
| 실행 | T1059.001 | 명령 및 스크립팅 인터프리터: PowerShell |
| T1059.005 | 명령 및 스크립팅 인터프리터: Visul Basic | |
| T1053.005 | 예약된 작업/작업: 예약된 작업 | |
| T1204.002 | 사용자 실행: 악성 파일 | |
| 고집 | T1053.005 | 예약된 작업/작업: 예약된 작업 |
| T1547.001 | 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 | |
| 권한 에스컬레이션 | T1055.001 | 프로세스 주입: 동적 링크 라이브러리 주입 |
| T1055.002 | 프로세스 주입: 휴대용 실행 파일 주입 | |
| 방어 회피 | T1140 | 파일 또는 정보의 난독화/디코드 |
| T1574.001 | 하이재킹 실행 흐름: DLL | |
| T1070.004 | 표시 제거: 파일 삭제 | |
| T1070.009 | 표시기 제거: 명확한 지속성 | |
| T1036.008 | 위장: 위장 파일 유형 | |
| T1112 | 레지스트리 수정 | |
| T1027.009 | 난독화된 파일 또는 정보: 임베디드 페이로드 | |
| T1027.010 | 난독화된 파일 또는 정보: 명령 난독화 | |
| T1027.013 | 난독화된 파일 또는 정보: 암호화/인코딩된 파일 | |
| T1055.001 | 프로세스 주입: 동적 링크 라이브러리 주입 | |
| T1497.001 | 가상화/샌드박스 회피: 시스템 검사 | |
| T1497.002 | 가상화/샌드박스 회피: 사용자 활동 기반 검사 | |
| 자격 증명 액세스 | T1555.003 | 암호 저장소의 자격 증명: 웹 브라우저의 자격 증명 |
| T1056.001 | 입력 캡처: 키로깅 | |
| T1056.002 | 입력 캡처: GUI 입력 캡처 | |
| T1556.004 | 인증 프로세스 수정: 네트워크 장치 인증 | |
| 발견 | T1083 | 파일 및 디렉토리 검색 |
| 데이터 수집 | T1115 | 클립보드 데이터 |
| T1005 | 로컬 시스템의 데이터 | |
| T1039 | 네트워크 공유 드라이브의 데이터 | |
| T1113 | 화면 캡처 | |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 |
| 여과 | T1041 | C2 채널을 통한 유출 |
