Operation Sindoor – 디지털 포위 공격의 해부

회사 개요

Seqrite Labs,  인도 최대의 맬웨어 분석 연구소가 있습니다. 신두르 작전과 관련된 여러 사이버 사건을 확인했으며, 여기에는 국가 지원 APT 활동과 조율된 핵티비스트 작전이 포함되었습니다. 관찰된 전술에는 스피어 피싱, 악성 스크립트 배포, 웹사이트 변조, 무단 데이터 유출 등이 포함되었습니다. 이 캠페인은 사이버 간첩 전술, 핵티비스트 주도의 교란 행위, 그리고 하이브리드 전쟁 요소가 복합적으로 나타났습니다. 국방, 정부 IT 인프라, 의료, 통신, 교육 등 고부가가치 인도 분야를 표적으로 삼았습니다. 일부 활동은 스푸핑된 도메인, 악성 코드 페이로드, 그리고 인도 군 및 정부 기관을 대상으로 자격 증명 수집 기법을 활용하는 것으로 알려진 파키스탄 연계 위협 그룹인 APT36과 사이드카피의 소행으로 밝혀졌습니다.

트리거 포인트: 초기 접근 벡터

On 2025 년 4 월 17 일인도 사이버 원격 측정 시스템이 활성화되기 시작했습니다. 위협 탐지 환경 전반에서 정부 메일 서버와 국방 인프라를 겨냥한 이상 징후가 나타났습니다. 미끼 파일은 긴급성과 정당성을 흉내 내는 이름을 사용했습니다.

• xlam
• 팸
• pptx.lnk

이것들은 일반적인 파일이 아니었습니다. 정밀하게 유도된 공격이었습니다. 매크로, 바로 가기글렌데일 스크립트 은밀한 지휘통제(C2) 통신과 악성코드 배포를 촉발했습니다. 각각의 미끼는 대중의 공포와 국가적 비극을 이용하여 최근 다음과 같은 헤드라인을 무기화했습니다. 파할감 테러 공격. 자세한 기술 정보는 다음에서 확인할 수 있습니다.

• 공지: APT36이 인도 정부를 표적으로 삼아 사용한 파할감 공격 테마 미끼
• 파키스탄의 위협의 집합체: 인도를 표적으로 삼는 사이버 작전의 융합 전술 | Seqrite

7월 XNUMX일 신두르 작전이 시작된 이후 조직적인 훼손, 데이터 유출, 파괴적인 사이버 캠페인을 포함한 해커 활동이 급증한 것으로 관찰되었습니다.

활동 타임라인 그래프 – Operation Sindoor

APT36: 디지털 포식자의 진화

오랫동안 크림슨 RAT과 사회 공학을 이용한 공격과 연관되었던 APT36은 진화했습니다. 기존의 포세이돈 로더들은 사라졌습니다.아레스은 모듈식, 회피형 맬웨어 프레임워크, 이제 새로운 선봉을 형성했습니다.

도구 및 파일 유형:

• .ppam, .xlam, .lnk, .xlsb, .msi
• 웹 쿼리를 트리거하는 매크로:
  fogomyart[.]com/random.php
• 위조된 인도 기관을 통한 탑재물 배달:
  zohidsindia[.]com, nationaldefensecollege[.]com, nationaldefencebackup[.]xyz
• 콜백 C2 IP: 167.86.97[.]58:17854(크림슨 RAT C2).

APT36은 Sindoor 작전 중 은밀한 감염, 지속성, 그리고 명령 및 제어(C&C)를 위해 고급 TTP(Test Transition Protocol)를 사용했습니다. 초기 접근은 악성 파일 형식(.ppam, .xlam, .lnk, .xlsb, .msi)을 사용하는 스피어 피싱 첨부 파일(T1566.001)을 통해 이루어졌습니다. 이러한 매크로는 fogomyart[.]com과 같은 도메인으로 웹 쿼리(T1059.005)를 실행했습니다. 페이로드는 zohidsindia[.]com 및 nationaldefensecollege[.]com과 같은 스푸핑된 인도 도메인을 통해 전송되었으며, 애플리케이션 계층 프로토콜(T2)을 통해 1071.001[.]167.86.97:58로 C17854 통신을 수행했습니다. 실행과 지속성을 위해 APT36은 LOLBins(T1218), 예약된 작업(T1053.005), UAC 우회(T1548.002), 난독화된 PowerShell 스크립트(T1059.001, T1027)를 활용하여 탐지를 피하면서 장기간 액세스를 가능하게 했습니다.

Ares RAT는 손상된 호스트에 대한 완전한 제어권을 부여하여 키로깅, 화면 캡처, 파일 조작, 자격 증명 도용, 원격 명령 실행과 같은 기능을 제공합니다. 이는 상업용 RAT와 유사하지만 은밀성과 회피에 맞춰져 있습니다.

디지털 인프라: 기만의 영역

이 작전의 도메인 무기고는 비밀 정보 작전과 유사했습니다.

• 파할가마택[.]닷컴
• 2025년 실내 작업[.]
• sindoor[.]웹사이트
• 신도르[.]라이브

이러한 도메인은 군대와 정부 기관을 모방하여 사용자의 신뢰를 악용하고 지정학적 이야기를 사회 공학에 활용했습니다.

함께하는 해커티비즘: 섀도우 대대

APT36은 단독으로 행동하지 않았습니다. 해커티비스트 집단 조정된 파괴적 공격DDoS 공격, 훼손글렌데일 데이터 유출—인도의 주요 부문에 걸쳐. 아래 이미지에서 볼 수 있듯이, 텔레그램 그룹들은 #OpIndia, #OperationSindoor, #PahalgamAttack 등의 해시태그를 사용하여 활동을 동기화했습니다.

 

가장 많이 타겟으로 삼은 분야:

Operation Sindoor 캠페인은 인도의 핵심 부문을 전략적으로 표적으로 삼았습니다. 방위산업 국방부, 육군, 해군, 국방과학연구소(DRDO)와 같은 기관들. 해커들은 정부 IT 인프라DDoS 및 데이터 유출 증거가 있는 NIC 및 GSTN을 포함하여 침해를 시도하는 동안 건강 관리 AIIMS 및 DRDO 병원과 같은 기관. 통신 거대 기업 Jio와 BSNL이 여러 건의 조사를 받았듯이 주정부 교육 및 정부 포털사이버 공격의 폭과 조정을 보여줍니다.

캠페인 이후 위협 환경

이와 같은 서비스: 5 월 7-10Seqrite 원격 측정에서 보고된 내용:

• 650건 이상의 확인된 DDoS/훼손 사건
• 35개 이상의 해커 활동가 그룹이 참여함, 7개 새로 등장
• 26개의 사용자 정의 탐지 시그니처 XDR에 배포됨

탐지 시그니처:

서명 이름	기술설명
BAT.Sidecopy.49534.GC	SideCopy 로더 스크립트
LNK.사이드카피.49535.GC	매크로 활성화 단축키
MSI.Trojan.49537.GC	MSI 기반 트로이 목마 드로퍼
HTML.트로이 목마.49539.GC	HTML 자격 증명 피싱
Bat.downloader.49517	RAT용 유틸리티 다운로드
Txt.Enc.Sidecopy.49538.GC	난독화된 로더

 

IOC: 손상 지표

악성 도메인:

• 파할가마택[.]닷컴
• 신도르[.]라이브
• 2025년 실내 작업[.]
• nationaldefensecollege[.]com
• fogomyart[.]com/random.php

악성 파일:

• xlam
• 팸
• pptx.lnk
• PDF

콜백 IP:

• 167.86.97[.]58:17854(크림슨 RAT C2)

VPS 트래픽 출처:

• 러시아 🇷🇺
• 독일
• 인도네시아
• 싱가포르

혼돈의 마인드 맵: 조정된 파괴

Seqrite의 응답

작전에 대응하기 위해 Seqrite Labs는 다음을 배치했습니다.

• 26개의 탐지 규칙 제품 라인 전반에 걸쳐
• YARA 서명 및 STIP/MISP와의 상관관계
• XDR 전체 알림 SideCopy 및 Ares 변형의 경우
• 다크웹 및 텔레그램 모니터링
• 위협 권고 전파 인도 기업체에

 

연구자의 반성

신두르 작전 현대 사이버전의 청사진을 공개했습니다. 이는 국가 행위자들이 어떻게 비국가 해커 활동가들과 협력하다, 병합 기술적 침입 과 심리적 조작. APT36의 진화(특히 포세이돈에서 아레스로의 이동)와 동시에 발생한 해커 활동가들의 공격은 의도적인 사이버 간첩과 이념 전쟁의 융합.

이제 우리는 고립된 악성 소프트웨어 캠페인에 직면하게 되었습니다. 디지털로 조정된 전쟁 게임도구는 매크로, MSI 파일, DDoS 스크립트 등 변경될 수 있지만 목표는 동일합니다. 불안정화, 잘못된 정보 전달, 혼란을 일으키다.

맺음말

신두르 작전은 인도와 파키스탄 간 사이버 분쟁이 상당히 고조되었음을 보여줍니다. APT36과 동맹 해커 그룹이 주도한 이 작전은 첨단 악성코드, 스푸핑된 인프라, 그리고 기만적인 소셜 엔지니어링 기법을 혼합하여 인도의 주요 지역에 침투했습니다.

국방, 정부 IT, 의료, 교육, 통신 부문을 전략적으로 표적으로 삼는 것은 단순히 정보 수집을 넘어 국가 운영을 교란하려는 의도를 분명히 보여줍니다. Ares RAT과 같은 도구를 배포함으로써 공격자는 감염된 시스템에 대한 완전한 원격 접근 권한을 확보하여 감시, 데이터 유출, 그리고 중요 서비스에 대한 잠재적 방해 공작의 가능성을 열어주었습니다.

영향의 관점에서 볼 때, 이 작업은 다음과 같은 효과가 있습니다.

• 훼손된 신뢰 신뢰할 수 있는 인도 도메인을 스푸핑하여 공식 디지털 커뮤니케이션에 침투합니다.
• 운영 위험 증가 인프라의 취약점을 노출시켜 민감한 부서의 보안을 강화합니다.
• 대중의 인식 저하 정부와 국방 분야의 사이버 보안 준비도.
• 증폭된 지정학적 긴장 사이버 수단을 이용해 영향력을 행사하고 불안정을 조장합니다.

The 이 캠페인이 국가 사이버 보안과 신뢰에 미치는 영향 중요했습니다:

• 데이터 유출: 주요 기관의 민감한 내부 문서, 자격 증명, 사용자 정보가 유출되었습니다. 이로 인해 운영 보안과 전략적 의사 결정이 위태로워지고, 후속 침입의 가능성이 열립니다.
• DDoS 공격: 서비스 거부 공격을 통해 주요 정부 및 대중 대상 서비스의 가용성이 저하되었고, 지정학적으로 민감한 시기에 내부 워크플로와 시민 접근이 모두 영향을 받았습니다.
• 웹사이트 훼손: 여러 인도 정부 및 기관 웹사이트가 훼손되어 대중의 신뢰를 훼손하고 영향력과 사이버 우위를 과시하기 위한 심리전 전술로 활용되었습니다.

이러한 발전은 진화하는 하이브리드 위협에 대응하기 위해 향상된 위협 인텔리전스 역량, 견고한 사고 대응 프레임워크, 전략적 공공-민간 협력에 대한 시급한 필요성을 강조합니다.