저자: Sathwik Ram Prakki 및 Kartikkumar Jivani
목차
- 개요
- 주요 목표
- 적용 산업
- 지리적 초점
- 감염과 미끼
- 기술 분석
- PowerShell 스테이지
- 고집
- 구성
- 인프라 및 귀속
- 맺음말
- SEQRITE 보호
- IOC
- MITER ATT & CK
개요
SEQRITE Labs는 러시아와 벨라루스 양국 군인, 특히 러시아 공수부대와 벨라루스 특수부대를 표적으로 삼는 캠페인을 파악했습니다. 이 감염 경로는 obfs4 브리지를 사용하는 Tor를 통해 여러 로컬 서비스를 노출시켜 공격자가 어니언 주소를 통해 익명으로 통신할 수 있도록 합니다. 이 블로그에서는 PowerShell을 통한 여러 단계의 감염 경로, 피해자를 유인하는 데 사용되는 미끼, 그리고 Tor 트래픽 차단을 해제하는 숨겨진 서비스인 SSH를 노출시켜 지속성을 유지하는 방법을 살펴보겠습니다.
올해에는 다음과 같은 유사한 지리적 초점을 가진 여러 캠페인이 확인되었습니다. 홀로우퀼 2025년 초에 발견된 이 캠페인은 정부 및 국방 부문과 직결된 학술 및 연구 기관 등 다양한 러시아 기관을 표적으로 삼았습니다. 7월에는 " 카고탈론 러시아의 항공우주 및 방위 산업을 표적으로 삼아 Eaglet 임플란트를 배치하고 있으며, 헤드메어 최근 러시아 자동차 및 전자상거래 산업을 표적으로 삼아 CAPI 백도어를 이용한 공격이 추적되고 있습니다. 모터비콘.
주요 목표
적용 산업
- 국방부
지리적 초점
- 러시아 연방
- 벨로루시 공화국
감염과 미끼
그림 1 – 감염 사슬
첫 번째 미끼는 71289군부대 대행 사령관이 우수리스크(동부 군관구)에 주둔하는 제83 독립 근위 공수 강습 여단을 러시아 공수부대(VDV) 사령관에게 임명장을 보내달라는 내용의 추천서입니다. 우수리스크는 현재 진행 중인 러시아-우크라이나 전쟁과는 정반대이지만, 중국-러시아 국경과 태평양에 더 가깝습니다.
그림 2 – 러시아를 표적으로 삼은 미끼
두 번째 미끼 편지는 10월 13일부터 군인 훈련을 위한 것입니다.th 16로th 2025년에 민스크 근처 마리이나 호르카에 위치한 벨라루스 특수부대 제5독립 스페츠나츠 여단을 가리키는 군사부대 89417이 설립되었습니다(이 부대는 2019년에 해체되었지만 2021년에 일부 활동이 있었다고 보고되었습니다).
그림 3 – 벨로루시를 표적으로 삼은 미끼
기술 분석
벨라루스에서 업로드된 아카이브 파일은 수정 날짜가 2025년 10월 15일과 2025년 10월 21일입니다. 초기 피싱 ZIP 파일에는 이중 확장자 형식의 바로가기 LNK가 포함되어 있으며, 다음과 같이 번역됩니다.
| 원본 파일 이름 | 번역된 이름 |
| ТЛГ на убытие на переподготовку.pdf.lnk | TLG 재교육 출발.pdf.lnk |
| Исх No6626 Представление на назначение на воинскуу должность.pdf.lnk | 참고번호 6626 군직 임명 추천서.pdf.lnk |
바로가기 파일에는 'desktop-V7i6LHO'와 'desktop-u4a2HgZ'라는 머신 ID가 있으며, 이는 2025년 9월 마지막 주에 무기화된 것으로 보입니다. 이 바로가기 파일은 LNK 옆에 있는 다른 보관 파일을 사용하여 전체 체인을 설정하는 초기 드로퍼 단계 역할을 하는 PowerShell 명령을 트리거합니다.
그림 4 – 바로 가기 파일이 PowerShell을 트리거합니다.
이 명령은 첫 번째 아카이브 파일을 다음 디렉토리 중 하나에 추출합니다.
- %APPDATA%\동적업데이팅해싱스케일링컨텍스트
- %USERPROFILE%\다운로드\증분 스트리밍 병합 소켓
그리고 이를 사용하여 폴더에서 두 번째 보관 파일을 추출합니다.발견.000'. 이 다단계 추출은 페이로드를 '에 떨어뜨립니다.$env:APPDATA\logicpro' 또는 '$env:APPDATA\reaper' 디렉토리에서 텍스트 파일의 내용을 읽고 숨겨진 PowerShell 프로세스를 통해 자동으로 실행합니다.
- \logicpro\scaling암호화인코딩
- \reaper\responsiveHashingSocketScalableDeterministic
다음 단계로 넘어가기 전에 두 아카이브의 내용을 살펴보겠습니다. 여러 개의 EXE 파일과 텍스트 파일, 가짜 PDF 파일, DLL 파일, 그리고 몇 개의 XML 파일이 포함되어 있습니다. 위의 과정을 따라가면 다음 단계는 PowerShell 스크립트 실행입니다.
그림 5 – 아카이브 파일의 내용
PowerShell 스테이지
스크립트는 Windows '최근' 폴더를 확인하고 그 안에 바로가기 파일이 10개 이상 있는지 확인하는 것으로 시작합니다. 안티 분석 샌드박스 환경을 우회하고 정상적인 사용자 활동이 있는지 확인합니다. 프로세스 수가 50보다 큰지 확인하고 미끼 문서를 여는지도 확인합니다.
그림 6 – PowerShell 분석 방지
그런 다음 뮤텍스를 생성하여 인스턴스가 하나만 실행되도록 합니다. 사용자 이름을 변경한 후 두 XML 파일을 모두 읽고 예약된 작업을 등록하여 즉시 시작합니다. 이를 통해 지속성이 확립되고 해당 XML에 정의된 페이로드의 다음 단계가 실행됩니다. 여러 문자열이 연결되어 완전한 양파 주소를 형성합니다.
그림 7 – PowerShell 스테이저
그런 다음 Tor가 숨겨진 서비스 디렉터리의 구성을 기반으로 작성한 호스트 이름 파일이 생성될 때까지 기다립니다. 따라서 로컬 Tor 인스턴스 켜져 있고 양파를 사용할 수 있습니다. 특정 형식으로 식별 비콘을 생성합니다.: :3-예이핌' 또는 '로 끝남:2-르우키미' 그리고 사용 컬 포트 9050의 로컬 Tor SOCKS 리스너를 통해. 이를 지속시키기 위해 여러 개의 재시도 플래그가 사용됩니다.
그림 8 – 비콘의 로컬 호스트 이름
고집
XML 파일은 매일 시작되는 Windows 예약 작업 정의입니다. 2025-09-25T01:41:00-08:00 지정된 사용자에 대한 로그온 트리거가 있습니다. 이러한 작업은 숨겨져 있으며 컴퓨터가 유휴 상태, 요청 시, 네트워크 연결 없이도 실행되도록 구성됩니다. 여러 인스턴스를 무시하며 실행 시간 제한이 없습니다.
그림 9 – 지속성을 위한 XML
그림 10 – 예약된 작업
마지막으로 구성 파일이 인수로 전달되는 EXE에 대해 알아보겠습니다. 일부는 PDB 경로와 내부 이름을 기반으로 SSH 및 SFTP 서버 바이너리일 가능성이 높습니다. XML 파일은 처음 또는 마지막 두 명령(두 캠페인 모두 포함)을 실행합니다.
- %AppData%/logicpro/githubdesktop.exe -f 컨트롤러 게이트웨이 암호화
- %AppData%/logicpro/pinterest.exe -f 파이프라인 클러스터 배포 클러스터
- %AppData%/reaper/googlemaps.exe -f 해싱바인딩동적업데이팅세션
- %AppData%/reaper/googlesheets.exe -f 디코딩분산파싱핸들러중복
모두 githubdesktop.exe 및 구글맵.exe 위에서부터, 함께 ssh-shellhost.exe, 이베이.exe (SFTP 서버) 및 libcrypto.dll (LibreSSL)은 컴파일 타임스탬프 2023-12-13 및 PDB 경로를 갖는 합법적인 "Windows용 OpenSSH" 바이너리입니다.
- “C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\sshd.pdb”
- “C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\sftp-server.pdb”
- “C:\a_work\1\s\OSS_Microsoft_OpenSSH_Dev\bin\x64\Release\ssh-shellhost.pdb”
- "C:\a_work\1\s\Libressl\libressl\build_X64\crypto\Release\libcrypto.pdb"
libcrypto.dll 암호화, 키 교환 및 해싱을 위해 번들로 제공됩니다. ssh-shellhost.exe 대화형 SSH 세션에 사용됩니다. 이는 공격자가 Tor를 사용하여 사용자 프로필 디렉터리 내에 독립형 OpenSSH 서버를 구축했음을 확인시켜 주며, 이는 은밀한 원격 관리 및 악용 후 지속성 확보를 위한 것으로 보입니다.
구성
SSHD에 전달된 첫 번째 구성 [githubdesktop.exe (또는) 구글맵.exe]는 다음과 같습니다. 두 캠페인의 유일한 차이점은 두 번째 캠페인에는 SFTP 하위 시스템이 없다는 것입니다. 비표준 포트 20321이 사용되고, 비밀번호는 비활성화되어 있으며 공개 키와 개인 키 및 인증 키가 포함된 파일만 허용됩니다. 이러한 키가 포함된 파일은 다음과 같습니다.
- 중복 최적화 인스턴스 변수 로깅
- 중복 실행 컨테이너 인덱싱
- 증분병합증분불변프로토콜
- 로깅최적화된디코딩
포트 20321 ListenAddress 127.0.0.1 호스트 키 중복 최적화 인스턴스 변수 로깅 PubkeyAuthentication 예 비밀번호 인증 번호 AuthorizedKeysFile AppData\Roaming\logicpro\redundantExecutingContainerIndexing 서브 시스템 SFTP AppData\Roaming\logicpro\ebay.exe
두 번째 구성은 다음으로 전달됩니다. 핀터레스트.exe (또는) 구글시트.exe, 기본적으로는 토르.exe토르(Tor)를 통해 SSH, SMB, RDP 및 기타 포트를 노출하는 양파(onion) 서비스를 생성합니다. EXE 파일을 통해 플러그형 전송 방식인 obfs4를 사용하도록 구성되어 있습니다. confluence.exe (또는) 라이더.exe, 이는 단순히 o입니다bfs4proxy 진연결을 숨기는 데 사용되는 브리지 사용이 보입니다. 브리지 엔드포인트는 IP, 포트, 지문, 인증서 및 iat 모드로 정의되어 해당 브리지를 통한 아웃바운드 Tor 연결을 허용합니다.
그림 11 – Tor 브리지와의 통신
HiddenServiceDir "socketExecutingLoggingIncrementalCompiler/" 숨겨진서비스포트 20322 127.0.0.1:20321 숨겨진서비스포트 11435 127.0.0.1:445 숨겨진서비스포트 13893 127.0.0.1:3389 숨겨진서비스포트 12192 127.0.0.1:12191 숨겨진서비스포트 14763 127.0.0.1:14762 GeoIPFile geoip GeoIPv6파일 geoip6 ClientTransportPlugin obfs4 exec confluence.exe UseBridges 1 Bridge obfs4 77.20.116.133:8080 2BA6DC89D09BFFA68947EF5719BFA1DC8E410FF3 cert=wILsetGQVClg0xNK5KWeKYCZJU48I9L+XiS4UVPfi3UQzU14lXuUhnuNiaeMzs2Z3yNfZw iat-mode=2 Bridge obfs4 156.67.24.239:33333 2F311EB4E8F0D50700E0DF918BF4E528748ED47C cert=xzae4w6xtbCRG4zpIH7AozSPI0h+lKzbshhkfkQBkmvB/DSKWncXhfPpFBNi5kRrwwVLew iat-mode=2
같은 방식으로 합법적인 obfs4proxy.exe 이름이 변경되어 구성에 사용됩니다. confluence.exe 및 라이더.exe.
인프라 및 귀속
Tor를 통해 피해자를 등록하는 데 사용된 Onion 링크는 다음과 같습니다.
- yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion
최근 토르 브리지 포트의 넷플로우 데이터를 바탕으로 러시아 및 일부 인접 국가와의 트래픽이 확인되었습니다. 이러한 IP는 토르 서비스 또는 가정용으로 분류됩니다.
| IP : 포트 | ASN | 국가 | 카테고리 |
| 77.20.116[.]133:8080 | 3209 (보다폰 GmbH) | 독일 | 주거용, 대리 |
| 156.67.24[.]239:33333 | 51167 (콘타보 GmbH) | 프랑스 | 바위 산 |
| 146.59.116[.]226:50845 | 16276 (OVH SAS) | 폴란드 | 클라우드 |
| 142.189.114[.]119:443 | 577 (베이컴) | Canada |
156.67.24[.]239:33333과 77.20.116[.]133:8080에서는 트래픽이 매우 적게 관찰되었습니다. 반면, 나머지 두 IP에서는 러시아가 발견되었는데, 이는 러시아를 표적으로 삼는 구성 및 미끼 공격의 일부입니다.
러시아와 연관된 두 그룹, APT44 (샌드웜)과 APT28이전에는 토르(Tor)를 사용하여 오니언(Onion) 도메인과 통신하는 것이 관찰되었습니다. 그러나 이번 사례에서는 네트워크 모니터링을 회피하기 위해 플러그형 전송 및 SSHD를 위한 사용자 지정 구성이 사용되었으며, 이러한 공격은 러시아와 벨라루스를 표적으로 삼았습니다. 친우크라이나 APT도 유사한 타깃을 사용하는 것으로 관찰되었습니다. 화난 리코 (끈적끈적한 늑대인간)과 리코를 깨우다 (코어 늑대인간) 하지만 스카이클록은 현재로선 출처가 밝혀지지 않았습니다.
맺음말
러시아와 벨라루스 군인을 모두 표적으로 하는 다중 체인 침입 체인이 확인되었으며, 이는 OpenSSH와 Tor 브리지를 사용하는 PowerShell 스테이저로 이어집니다. 이는 표적 환경 내에서 은밀한 원격 접근 및 수평 이동을 구축하기 위해 설계된 은밀 지향 캠페인을 보여줍니다. 현재 증거에 따르면, 이 캠페인은 국방 및 정부 부문을 표적으로 삼은 동유럽 연계 간첩 활동과 일치하는 것으로 보이지만, 이전에 기록된 작전과의 연관성은 여전히 불확실합니다.
SEQRITE 보호
- XML.스카이클로크.50052.GC
- 스크립트.트로이 목마.50053.GC
- 스크립트.스카이클로크.50054
IOC
| 아카이브(ZIP) | |
| 952f86861feeaf9821685cc203d67004 | ТЛГ на убытие на переподготовку.pdf |
| d246dfa9e274c644c5a9862350641bac | persistentHandlerHashingEncodingScalable.zip |
| 8716989448bc88ba125aead800021db0 | Исх No6626 Представление на назначение на воинскуу должность.pdf.zip |
| ae4f82f9733e0f71bb2a566a74eb055c | 프로세서컨테이너로깅.zip |
| 단축키(LNK) | |
| 32bdbf5c26e691cbbd451545bca52b56 | ТЛГ на убытие на переподготовку.pdf.lnk |
| 2731b3e8524e523a84dc7374ae29ac23 | Исх No6626 Представление на назначение на воинскуу должность.pdf.lnk |
| 파워셸(PS1) | |
| 39937e199b2377d1f212510f1f2f7653 | 스케일링 암호화 인코딩 |
| 9242b49e9581fa7f2100bd9ad4385e8c | 반응형 해싱 소켓 확장 가능 결정론적 |
| XML | |
| b61a80800a1021e9d0b1f5e8524c5708 | loadingBufferFunctionHashing.xml |
| b52dfb562c1093a87b78ffb6bfc78e07 | incrementalRedundantRendering.xml |
| 45b16a0b22c56e1b99649cca1045f500 | synchronizingContextBufferSchemaIncremental.xml |
| dcdf4bb3b1e8ddb24ac4e7071abd1f65 | frameworkRepositoryDynamicOptimized.xml |
| 본문 | |
| e1a8daea05f25686c359db8fa3941e1d | 컨트롤러 게이트웨이 암호화 |
| b3382b6a44dc2cefdf242dc9f9bc9d84 | 파이프라인클러스터배포클러스터 |
| 229afc52dccd655ec1a69a73369446dd | 해싱 바인딩 동적 업데이트 세션 |
| f6837c62aa71f044366ac53c60765739 | 디코딩DistributedParsingHandlerRedundant |
| 2599d1b1d6fe13002cb75b438d9b80c4 | 중복 실행 컨테이너 인덱싱 |
| b7ae44ac55ba8acb527b984150c376e2 | 중복 최적화 인스턴스 변수 로깅 |
| 0f6aaa52b05ab76020900a28afff9fff | 중복 최적화 인스턴스 변수 로깅.pub |
| 219e7d3b6ff68a36c8b03b116b405237 | 로깅최적화된디코딩 |
| dfc78fe2c31613939b570ced5f38472c | 증분병합증분불변프로토콜 |
| 77bb74dd879914eea7817d252dbab1dc | incrementalMergingIncrementalImmutableProtocol.pub |
| PE(EXE/DLL) | |
| f6c0304671c4485c04d4a1c7c8c8ed94 | githubdesktop.exe / googlemaps.exe (sshd.exe) |
| cdd065c52b96614dc880273f2872619f | pinterest.exe / googlesheets.exe (tor.exe) |
| 37e83a8fc0e4e6ea5dab38b0b20f953b | ebay.exe(sftp-server.exe) |
| 6eafae19d2db29f70fa24a95cf71a19d | ssh-shellhost.exe |
| 664f09734b07659a6f75bca3866ae5e8 | confluence.exe / rider.exe(obfs4proxy.exe) |
| 6eafae19d2db29f70fa24a95cf71a19d | libcrypto.dll |
| 미끼 | |
| 23ad48b33d5a6a8252ed5cd38148dcb7 | ТЛГ на убытие на переподготовку.pdf |
| c8c41b7e02fc1d98a88f66c3451a081b | Исх No6626 Представление на назначение на воинскуу должность.pdf |
| 토르 브리지스 | |
| 77.20.116[.]133:8080 156.67.24[.]239:33333
146.59.116[.]226:50845 142.189.114[.]119:443 |
|
| yuknkap4im65njr3tlprnpqwj4h7aal4hrn2tdieg75rpp6fx25hqbyd[.]onion | |
MITER ATT & CK
| 술책 | 기술 ID | 기술명 |
| 자원 개발 | T1583 | 인프라 확보 |
| 초기 액세스 | T1566.001 | 피싱: 스피어피싱 첨부 파일 |
| 실행 | T1204.002 | 사용자 실행: 악성 파일 |
| T1059.001 | 명령 및 스크립팅 인터프리터: PowerShell | |
| T1106 | 네이티브 API | |
| 고집 | T1053.005 | 예정된 작업 |
| T1547 | 부팅 또는 로그온 자동 시작 실행 | |
| T1027 | 난독화된 파일 또는 정보 | |
| 방어 회피 | T1036 | 위장 |
| T1497 | 가상화/샌드박스 회피 | |
| 발견 | T1083 | 파일 및 디렉토리 검색 |
| T1046 | 네트워크 서비스 검색 | |
| T1033 | 시스템 소유자/사용자 검색 | |
| 측면 운동 | T1021 | 원격 서비스 |
| 수집 | T1119 | 자동 수집 |
| 명령 및 제어 | T1071 | 애플리케이션 계층 프로토콜 |
| T1090 | 대리 | |
| T1571 | 비표준 포트 | |
| 여과 | T1041 | C2 채널을 통한 유출 |
