영업팀에 문의
  /  테크니컬  / Operation MotorBeacon: 위협 행위자가 .NET Implant를 사용하여 러시아 자동차 산업을 표적으로 삼다
Operation MotorBeacon: 위협 행위자가 .NET Implant를 사용하여 러시아 자동차 산업을 표적으로 삼다

Operation MotorBeacon: 위협 행위자가 .NET Implant를 사용하여 러시아 자동차 산업을 표적으로 삼다

Written by 프리야 파텔
프리야 파텔
테크니컬

목차

  • 개요
  • 주요 목표
    • 영향을 받는 산업
    • 지리적 초점.
  • 감염 사슬.
  • 초기 조사 결과.
    • 미끼 문서를 살펴보다
  • 기술 분석
    • 1단계 – 악성 LNK 스크립트
    • 2단계 – 악성 .NET 임플란트
  • 사냥과 인프라.
  • 맺음말
  • 시크라이트 보호.
  • IOC
  • 미터 공격.
  • 작성자

개요

SEQRITE Labs 연구팀은 최근 러시아 자동차 상거래 산업을 표적으로 삼는 캠페인을 밝혀냈습니다. 이 캠페인에는 상업적 거래뿐만 아니라 자동차 관련 거래도 포함되며, CAPI 백도어라고 명명된 알려지지 않은 .NET 맬웨어가 사용되었습니다.

이 블로그에서는 초기 분석 중에 발견한 이 캠페인의 기술적 세부 사항을 살펴보고 감염 체인의 다양한 단계를 조사합니다. 먼저 미끼 문서를 심층적으로 살펴보고 CAPI 백도어를 분석합니다. 그런 다음 일반적인 전술, 기술 및 절차(TTP)와 함께 인프라를 살펴보겠습니다.

주요 목표

영향을 받는 산업

  • 자동차 산업
  • 전자상거래 산업

지리적 초점

  • 러시아 연방

감염 사슬

초기 발견

최근 2025년 10월 3일에 우리 팀은 악성 ZIP 아카이브를 발견했는데, 이는 Virustotal ZIP 파일은 PDF 및 LNK 확장자를 가진 미끼와 CAPI 백도어로 알려진 최종 .NET DLL 임플란트를 포함하는 스피어 피싱 기반 감염의 초기 소스로 사용되었습니다.

Перерасчет заработной платы 01.10.2025라는 이름의 ZIP 파일은 "2025년 10월 1일 기준 급여 재계산"을 의미하며, 이 파일에는 "Перерасчет заработной платы 01.10.2025.lnk"라는 악성 LNK가 포함되어 있습니다. 이 LNK는 rundll32.exe라는 LOLBIN을 사용하여 악성 .NET 임플란트를 실행합니다. 이 LNK가 실행되면 명령 및 제어 서버로 다시 연결됩니다. 이제 이 미끼 문서를 살펴보겠습니다.

미끼 문서를 살펴보다

처음에 세무서 신고서 P4353.pdf라는 이름의 미끼 문서를 살펴보니 전혀 비어 있는 반면 adobe.xml이라는 이름의 또 다른 미끼 문서는 세무 법률 및 이와 유사한 개념과 관련된 미끼로 밝혀졌습니다.

첫 페이지를 살펴보니 2025년 10월 1일부터 모든 직원에게 세금 관련 변경 사항이 적용된다는 내용이 언급되어 있었습니다. 또한 이 문서의 나머지 페이지에서는 변경 사항과 추가 계산 내용이 언급될 것이라고 언급되어 있었습니다.

다음으로 두 번째 페이지를 살펴보면, 개인소득세(PIT) 비율과 관련된 계산 결과가 포함되어 있어 새로운 세율이 직원의 연간 소득에 미치는 영향을 보여줍니다. 이 문서는 3,000,000만 루블을 초과하는 소득에 대해 기존 13% 세율과 새로운 15% 세율을 비교하여 총 세금과 순급여의 변화를 보여줍니다.

마지막 페이지에는 소득 관련 변경 사항이 언급되어 있으며, 새로운 개인 소득세율이 순급여 감소로 이어지는 방식을 설명합니다. 또한 직원들에게 업데이트된 세금 의무에 따라 예산을 계획하고, 새로운 규정에 대한 설명이나 도움이 필요한 경우 인사부나 회계 부서에 문의하도록 안내합니다.

다음 섹션에서는 기술적 분석을 살펴보겠습니다.

기술 분석

기술적 분석을 두 단계로 나누었습니다. 먼저 ZIP 파일에 포함된 악성 LNK 스크립트를 분석합니다. 다음으로 백도어를 유지하는 데 사용되는 악성 .NET 임플란트를 분석합니다. 이 임플란트는 이후 자세히 설명할 여러 기능을 제공합니다.

1단계 – 악성 LNK 스크립트

ZIP 파일에는 Перерасчет заработной платы 01.10.2025.lnk라는 LNK가 포함되어 있습니다. 이를 조사해 본 결과, 이 LNK의 유일한 목적은 rundll32.exe라는 Windows 유틸리티를 사용하여 악성 DLL 임플란트 CAPI를 실행하는 것뿐이라는 것이 분명해졌습니다.

명령줄 인수를 살펴보면, LOLBIN을 활용하여 악의적인 작업을 수행하는 config라는 내보내기 기능을 실행하려 한다는 것이 이제 매우 분명해졌습니다.

다음 섹션에서는 CAPI라고 알려진 DLL 임플란트의 기술적 기능을 살펴보겠습니다.

2단계 – 악성 .NET 임플란트

초기 분석 결과, adobe.dll 파일이 client6.dll로도 알려진 최종 스테이저이며 .NET으로 프로그래밍된 것으로 밝혀졌습니다.

이제 바이너리를 분석한 결과 .NET 임플란트 내부에 여러 가지 흥미로운 기능 세트가 존재한다는 것을 발견했습니다. CAPI .

이제 이 흥미로운 기능을 살펴보고 그 기능을 분석해 보겠습니다.

  • 관리자 – 이 기능은 보안 식별자라는 것을 사용하여 바이너리에 특정 관리자 수준 권한이 있는지 확인합니다. 이를 위해 현재 보안 식별자를 관리자의 보안 식별자와 비교합니다.

  • av – 이 기능은 WMI를 사용하여 SELECT * FROM AntiVirusProduct 쿼리를 사용하여 현재 사용자 계정에 설치된 모든 바이러스 백신 소프트웨어를 확인하고 목록을 C2 서버로 반환합니다.

  • OpenPdfFile – 이 기능은 사용자 화면에 미끼 문서를 PDF로 엽니다.

  • 연결 및 명령 수신 – Connect 함수는 443번 포트에서 TCP 클라이언트를 사용하여 C2 서버 223.75.96에 접속합니다. C2 서버가 전송한 명령은 ReceiveCommands 함수에 의해 바이트 배열로 수신되고, 이후 문자열로 디코딩되어 구현됩니다.

  • 명령 실행 – 이 기능은 악성 IP에서 수신한 명령(연결 끊기, 현재 디렉토리 경로 전송, 지속성 백도어 생성, Chrome, Edge, Firefox와 같은 브라우저에서 데이터 훔치기, 현재 사용자 정보 검색, 현재 화면의 스크린샷 찍기 등)을 구현하고 마지막으로 모든 정보를 명령 및 제어로 전송합니다.

  • dmp1, dmp2 및 dmp3 – 이 세 가지 기능은 머신 내 현재 사용자의 브라우저 데이터를 훔치는 역할을 합니다.

dmp1 함수는 edprofile_yyyyMMddHHmmss라는 디렉토리를 만들고 해당 디렉토리에서 사용 가능한 모든 파일과 폴더를 반복하려고 시도합니다. 지방 주 엣지 브라우저의 암호화된 키가 포함된 폴더입니다. 수집된 모든 데이터는 edprofile.zip이라는 이름의 ZIP 파일에 저장되어 C2 서버로 전송됩니다.

마찬가지로 dmp2 함수는 chprofile_safe.zip이라는 ZIP 파일을 만들고 북마크, 기록, 파비콘, 인기 사이트, 환경 설정, 확장 프로그램 등의 모든 데이터를 저장합니다.

dmp3 함수가 사용자의 Firefox 브라우저 프로필을 검색하는 방식과 같습니다. 프로필이 발견되면 profiles.ini, installs.ini 등의 파일과 확장자, 캐시 파일, 썸네일, 미니덤프 등의 데이터를 복사하여 ffprofile_safe.zip이라는 ZIP 파일로 저장하고 C2 서버로 전송합니다.

  • 화면 - 이 기능은 현재 사용자 화면의 스크린샷을 찍고 날짜와 시간을 표시한 후 이미지를 png 형식으로 C2 서버로 전송합니다.

  • IsLikelyVm – 이 기능은 가상 머신의 가용성을 확인하는 역할을 합니다. 피해자의 시스템을 조사하기 위해 다양한 기능을 사용하는데, 지금부터 하나씩 살펴보겠습니다.
    • CheckHypervisorPresent – 이 함수는 SELECT HypervisorPresent FROM Win32_ComputerSystem 쿼리를 사용하여 시스템에서 여러 가상 머신을 관리하는 소프트웨어인 Hypervisor의 존재 여부를 확인합니다.

      • CheckGuestRegistryStrong – 이 함수는 시스템에 있는 가상 머신과 관련된 레지스트리 키 경로를 확인합니다. 이 함수는 가상 머신에 속할 가능성이 가장 높은 레지스트리 경로 목록을 포함하고 이를 시스템 경로와 비교합니다.
      • CheckSmbiosMarkers – 이 기능은 다음을 확인합니다. 시스템 관리 BIOS 시스템에 있는 가상 머신 제조업체 및 모델 목록을 포함하는 함수입니다. 그런 다음 검색된 데이터를 이 함수에 포함된 일반적인 가상 머신 목록과 비교합니다.
      • CheckPnPMarkers – 이 함수는 모든 PNP(플러그 앤 플레이) 장치와 그 이름, 제조업체, 그리고 시스템에 있는 각 장치에 대해 고유한 PNPDeviceID를 수집합니다. 그런 다음, 이 데이터를 가상 머신의 존재 여부를 감지하는 데 사용할 수 있는 가장 일반적인 문자열과 비교합니다.
      • 체크디스크마커스 – 이 기능은 디스크 드라이브에 있는 가상 머신과 관련된 PNP(플러그 앤 플레이) 장치를 확인합니다.
      • CheckVideoMarkers – 이 함수는 시스템에 있는 모든 Video_controller 장치를 열거하고, 모든 장치를 함수에 포함된 공통 가상 머신 목록과 비교합니다.
      • CheckVmMacOui – 이 기능은 네트워크 어댑터에서 모든 MAC 주소를 수집하여 가상 머신용으로 특별히 만들어진 일부 하드코딩된 MAC 주소와 비교합니다.
      • HasRealGpu – 이 기능은 모든 GPU 공급업체를 열거하여 피해자의 머신이 합법적인 시스템에서 실행 중인지, 아니면 가상 머신에서 실행 중인지 확인하여 해당 머신에 실제 GPU가 있는지 확인합니다.
      • HasRealDiskVendor – 이 기능은 Disk Drive에 있는 모든 Disk 공급업체를 열거하여 피해자 컴퓨터에 실제 Disk 공급업체가 있는지 확인합니다.
      • 배터리 또는 노트북 섀시가 있습니까? 이 기능은 시스템에서 사용 가능한 배터리나 노트북 섀시 유형을 확인합니다.
      • HasOemPcVendor – 이 기능은 DELL, HP, LENOVO 등과 같이 시스템의 알려진 실제 제조업체 이름을 찾아 시스템이 합법적인지 또는 가상 머신인지 결론을 내립니다.

다음으로, 이 파일은 원본 DLL 파일이 삭제되더라도 악성 작업이 계속될 수 있도록 지속성을 설정합니다. 이를 위해 두 가지 기법을 사용하는데, 이에 대해서는 나중에 자세히 살펴보겠습니다.

  • 지속1 – 이 기능은 다음을 사용하여 CAPI 백도어(.NET 임플란트)의 주소를 검색합니다. GetExecutingAssembly().위치 방법을 사용한 다음 사용자 로밍 아래의 Microsoft 폴더에 임플란트를 복사합니다. 응용 프로그램 데이터 폴더. 그런 다음 Microsoft.lnk라는 LNK 파일을 생성하여 현재 사용자의 시작 폴더에 저장합니다. Microsoft.lnk 파일의 대상 경로를 Windows 유틸리티 rundll32.exe로 설정하고, arguments를 저장된 백도어의 위치로 설정합니다.

  • 지속2 – persist1 함수와 유사하게 이 함수도 CAPI 백도어를 먼저 사용자 로밍 폴더 아래의 Microsoft 폴더에 저장합니다. 응용 프로그램 데이터 그런 다음 예약된 작업 개체의 인스턴스를 생성하고 이름이 지정된 새 작업 정의를 빌드합니다. 어도비PDF생성 후 1시간 후에 시작되어 7일 동안 매시간 반복되는 트리거를 구성합니다. 그런 다음 저장된 CAPI 백도어를 사용하여 C:\Windows\System32\rundll32.exe를 실행하고 이 예약된 작업을 스케줄러 루트 폴더에 등록하는 작업을 추가합니다.

CAPI 백도어는 몇 가지 흥미로운 기능을 수행합니다. 컴퓨터 및 기타 중요 정보를 수집하여 C2 서버로 전송하는 등의 다른 기능도 있습니다.

사냥과 인프라

처음에 우리는 이 악성 DLL 임플란트와 연결된 두 개의 네트워크 관련 아티팩트가 있다는 것을 발견했습니다. 그 중 하나는 DGA 알고리즘에서 생성된 무작위 도메인입니다.

저희는 10월 3일부터 캠페인을 추적해 왔고, 위협 행위자가 초기에 해당 도메인을 사용하고 일부 활동을 수행한 후 악성 도메인을 원래 도메인으로 리디렉션한 것을 확인했습니다.

얼마 후, 위협 행위자는 포트 443에서 CAPI 백도어를 호스팅하고 스피어 피싱 캠페인을 위한 원래 웹사이트에 대한 하이퍼링크를 추가했습니다.

ASN.에 호스팅된 악성 인프라 AS 197695 ~로 알려진 조직 하에 AS-REG.

임플란트가 콜백을 제공하고 피해자에게서 도난당한 모든 정보를 빼내는 이후 인프라는 조직 아래의 ASN 39087에서 호스팅되었습니다. 팩트 유한회사.

맺음말

저희는 10월 3일부터 이 캠페인을 추적해 왔으며, 해당 캠페인이 가짜 도메인인 carprlce[.]ru를 사용하고 있음을 발견했습니다. 이는 합법적인 도메인인 carprice[.]ru와 매우 유사합니다. 이는 위협 행위자가 러시아를 표적으로 삼고 있음을 시사합니다. 자동차 부문. 악성 페이로드는 .NET DLL 도둑으로 기능하고 확립합니다 고집 미래의 악의적인 활동을 위해.

SEQRITE 보호

  • 트로이 목마.49992.SL
  • 쥐치르

IOC

MD5 파일 이름
c6a6fcec59e1eaf1ea3f4d046ee72ffe 페레라셰트_자라보트노이_플라티_01.10.2025.zip
957b34952d92510e95df02e3600b8b21 Perерасчет заработной платы 01.10.2025.lnk
c0adfd84dfae8880ff6fd30748150d32 adobe.dll

C2

hxxps://carprlce[.]ru

91.223.75[.]96

MITER ATT & CK

술책 기술 ID 성함
초기 액세스 T1566.001 스피어피싱 첨부 파일
실행 T1204.002 사용자 실행: 악성 파일(LNK)
T1218.011 서명된 바이너리 프록시 실행: rundll32.exe
고집 T1564.001 아티팩트 숨기기: 숨겨진 파일 및 디렉터리
발견 T1047 WMI (Windows Management Instrumentation)
T1083 파일 및 디렉토리 검색
자격 증명 액세스 T1555.003 웹 브라우저의 자격 증명
수집 T1113 화면 캡처
명령 및 제어 T1071.001 애플리케이션 계층 프로토콜: 웹 프로토콜
여과 T1041 C2 채널을 통한 유출

저자.

프리야 파텔

수바지트 싱하

프리야 파텔

프리야 파텔 소개

...

Priya Patel의 기사 »

관련 게시물