회사 개요
Seqrite Labs APT팀은 UNG0002(Unknown Group 0002로도 알려짐)를 식별하고 추적했습니다. 이 그룹은 중국, 홍콩, 파키스탄을 포함한 여러 아시아 지역에서 동일한 클러스터로 편성되어 활동하는 첩보 활동 중심의 조직입니다. 이 위협 집단은 바로가기 파일(LNK), VBScript, 그리고 Cobalt Strike와 Metasploit과 같은 사후 공격 도구를 사용하는 것을 매우 선호하는 동시에, CV 테마의 미끼 문서를 지속적으로 배포하여 피해자를 유인합니다.
클러스터의 운영은 두 가지 주요 캠페인으로 구성됩니다. 코발트 위스퍼 작전(2024년 2024월~XNUMX년 XNUMX월) 앰버미스트 작전(2025년 2025월~XNUMX년 XNUMX월)코발트 위스퍼 작전(Operation Cobalt Whisper) 동안 방위, 전기 공학, 민간 항공 분야를 표적으로 삼은 20개의 감염 사슬이 관찰되었습니다. 최근 앰버미스트 작전(Operation AmberMist)은 섀도우 RAT(Shadow RAT), 블리스터 DLL 임플란트(Blister DLL Implant), INET RAT(Inet RAT) 등 개량된 경량 임플란트를 사용하여 게임, 소프트웨어 개발, 학술 기관을 표적으로 삼는 것으로 발전했습니다.
최근 AmberMist 작전에서 위협 주체는 ClickFix 기법을 악용했습니다. ClickFix 기법은 피해자를 속여 가짜 CAPTCHA 확인 페이지를 통해 악성 PowerShell 스크립트를 실행하도록 하는 사회 공학적 기법입니다. 또한, UNG0002는 DLL 사이드로딩 기법을 활용하는데, 특히 Rasphone 및 Node-Webkit 바이너리와 같은 합법적인 Windows 애플리케이션을 악용하여 악성 페이로드를 실행합니다.
중요한 발견들
- 다단계 공격: UNG0002는 악성 LNK 파일, VBScript, 배치 스크립트 및 PowerShell을 사용하여 정교한 감염 체인을 사용하여 Shadow RAT, INET RAT 및 Blister DLL을 포함한 사용자 지정 RAT 임플란트를 배포합니다.
- ClickFix 소셜 엔지니어링: 이 그룹은 가짜 CAPTCHA 확인 페이지를 활용해 피해자를 속여 악성 PowerShell 스크립트를 실행하게 하는데, 특히 파키스탄 해양부 웹사이트를 스푸핑합니다.
- DLL 사이드로딩 남용: 최근 캠페인에서는 합법적인 Windows 애플리케이션(Rasphone, Node-Webkit)을 지속적으로 악용하여 DLL 사이드로딩을 통해 탐지를 회피하면서 악성 페이로드를 실행하는 경우가 있었습니다.
- 이력서 테마 미끼 문서: 유명 교육기관의 게임 UI 디자이너와 컴퓨터 과학 전공 학생들의 가짜 프로필을 포함하여 특정 산업을 타겟으로 하는 현실적인 이력서 문서를 사용합니다.
- 지속적인 인프라: 1년 이상에 걸쳐 여러 캠페인에 걸쳐 일관된 명명 패턴과 운영 보안을 갖춘 명령 및 통제 인프라를 유지했습니다.
- 타겟 산업 집중: 방위, 전기공학, 에너지, 민간 항공, 학계, 의료 기관, 사이버 보안 연구자, 게임 및 소프트웨어 개발 분야를 체계적으로 타겟팅합니다.
- 귀속 과제: UNG0002는 다른 위협 행위자의 플레이북 기법을 모방하여 출처 파악을 어렵게 만드는 높은 적응성을 보이는 진화하는 위협 클러스터를 나타냅니다. Seqrite Labs는 이 그룹이 동남아시아에서 유래했으며 간첩 활동에 주력하고 있다고 높은 확신을 가지고 평가했습니다. 더 많은 정보가 확보됨에 따라 관련 캠페인은 향후 확장되거나 개선될 수 있습니다.
제품 개요
UNG0002는 적어도 2024년 XNUMX월부터 여러 아시아 관할권을 표적으로 삼아 일관된 활동을 유지해 온 남아시아의 정교하고 지속적인 위협 실체입니다. 이 그룹은 일관된 전술, 기술 및 절차를 유지하면서 도구 세트를 지속적으로 발전시켜 높은 적응력과 기술적 능숙성을 보여줍니다.
위협 행위자가 특정 지역(중국, 홍콩, 파키스탄)과 표적 산업에 집중하는 것은 정보 수집, 즉 고전적인 첩보 활동에 대한 전략적 접근을 시사합니다. 이들이 합법적인 것처럼 보이는 미끼 문서, 사회 공학 기법, 그리고 유사 고도화된 회피 수법을 사용하는 것은 풍부한 자원과 숙련된 작전을 시사합니다.
UNG0002는 코발트 위스퍼 작전과 앰버미스트 작전 모두에서 일관된 작전 패턴을 보이며, 유사한 인프라 명명 규칙, 페이로드 전달 메커니즘, 그리고 표적 선정 기준을 유지하고 있습니다. 이 조직이 주로 코발트 스트라이크와 메타스플로잇 프레임워크를 사용하던 방식에서 섀도우 RAT, INET RAT, 블리스터 DLL과 같은 맞춤형 임플란트를 개발하는 방식으로 진화한 것은 이들의 지속적인 특성을 시사합니다.
주목할 만한 기술적 아티팩트에는 Shadow RAT의 경우 C:\Users\The Freelancer\source\repos\JAN25\mustang\x64\Release\mustang.pdb, INET RAT의 경우 C:\Users\Shockwave\source\repos\memcom\x64\Release\memcom.pdb와 같은 개발 환경을 보여주는 PDB 경로가 포함됩니다. 이는 기존 위협 그룹의 모방을 시사하는 잠재적 코드명 "Mustang"과 "ShockWave"를 나타냅니다. 전체 감염 경로와 자세한 캠페인 세부 정보에 대한 심층적인 기술 분석은 당사의 종합적인 자료에서 확인하실 수 있습니다. 백서.
맺음말
특정 집단에 위협 활동을 귀속시키는 것은 항상 복잡한 작업입니다. 표적 패턴, 전술 및 기법(TTP), 지리적 집중, 그리고 운영 보안상의 잠재적 오류 등 여러 영역에 대한 상세한 분석이 필요합니다. UNG0002는 Seqrite Labs에서 적극적으로 모니터링하고 있는 진화하는 클러스터입니다. 더 많은 정보가 제공됨에 따라 관련 캠페인을 확장하거나 개선할 수 있습니다.현재 조사 결과를 바탕으로, 이 그룹은 동남아시아에서 유래되었으며 높은 수준의 적응력을 보인다고 확신합니다. 스파이 행위에 집중하여 출처를 밝히기 어렵게 만들기 위해 다른 위협 행위자들의 플레이북에서 흔히 볼 수 있는 기법을 모방하는 경우가 많습니다. 또한, 이러한 캠페인을 추적해 주신 malwarehunterteam을 비롯한 커뮤니티의 다른 연구원들에게도 감사드립니다.
IOC
- 비 PE [스크립트 기반 파일, 바로 가기, C2 구성, 암호화된 셸코드 블롭]
| 파일 형식 | 해시(SHA-256) |
| LNK(바로가기) | 4ca4f673e4389a352854f5feb0793dac43519ade8049b5dd9356d0cbe0f06148 |
| 55dc772d1b59c387b5f33428d5167437dc2d6e2423765f4080ee3b6a04947ae9 | |
| 4b410c47465359ef40d470c9286fb980e656698c4ee4d969c86c84fbd012af0d | |
| SCT(스크립틀릿) | c49e9b556d271a853449ec915e4a929f5fa7ae04da4dc714c220ed0d703a36f7 |
| VBS(VB스크립트) | ad97b1c79735b1b97c4c4432cacac2fce6316889eafb41a0d97f2b0e565ee850 |
| c722651d72c47e224007c2111e0489a028521ccdf5331c92e6cd9cfe07076918 | |
| 2140adec9cde046b35634e93b83da4cc9a8aa0a71c21e32ba1dce2742314e8dc | |
| 배치 스크립트(.bat) | a31d742d7e36fefed01971d8cba827c71e69d59167e080d2f551210c85fddaa5 |
| PowerShell(.ps1) | a31d742d7e36fefed01971d8cba827c71e69d59167e080d2f551210c85fddaa5 |
| TXT – C2 구성 | 2df309018ab935c47306b06ebf5700dcf790fff7cebabfb99274fe867042ecf0
b7f1d82fb80e02b9ebe955e8f061f31dc60f7513d1f9ad0a831407c1ba0df87e |
| 셸코드(.dat) | 2c700126b22ea8b22b8b05c2da05de79df4ab7db9f88267316530fa662b4db2c |
- PE – 임플란트
| 해시(SHA-256) | 악성코드 유형 | 노트 |
| c3ccfe415c3d3b89bde029669f42b7f04df72ad2da4bd15d82495b58ebde46d6 | 블리스터 DLL 임플란트 | Operation AmberMist에서 사용됨, DLL은 Node-Webkit을 통해 사이드로딩됨 |
| 4c79934beb1ea19f17e39fd1946158d3dd7d075aa29d8cd259834f8cd7e04ef8 | 블리스터 DLL 임플란트 | 위와 같은 가족, 가능한 변형 |
| 2bdd086a5fce1f32ea41be86febfb4be7782c997cfcb028d2f58fee5dd4b0f8a | INET 쥐 | 분석 방지 및 C2 유연성을 갖춘 Shadow RAT 재작성 |
| 90c9e0ee1d74b596a0acf1e04b41c2c5f15d16b2acd39d3dc8f90b071888ac99 | 섀도우 랫 | 디코이 및 구성 로더를 사용하여 Rasphone을 통해 배포됨 |
MITER ATT & CK
| 술책 | 기술 | 기술 ID | 관찰된 행동 / 예 |
| 정찰 | 정보를 위한 스피어피싱 | T1598.002 | 특정 산업 분야를 타겟으로 하는 직무 관련 이력서(예: 장완완, 리밍웨이 이력서)를 활용합니다. |
| 자원 개발 | 능력 개발 | T1587 | 사용자 정의 임플란트: INET RAT(Shadow RAT의 재작성), Blister DLL 로더 사용. |
| 인프라 확보 | T1583.001, T1583.006 | 위조된 도메인(예: moma[.]islamabadpk[.]site) 사용; ASN 사용. | |
| 초기 액세스 | 스피어 피싱 첨부 파일 | T1566.001 | LNK 및 VBS와 함께 악성 ZIP을 사용합니다(예: 张婉婉简历.zip, 文月_CV.pdf.lnk). |
| 드라이브바이 손상(ClickFix 기술) | T1189 | 악성 사이트가 사용자를 속여 PowerShell을 복사하여 클립보드에 붙여넣도록 합니다. | |
| 실행 | 명령 및 스크립팅 인터프리터(PowerShell, VBScript, 배치) | T1059 | VBS ➝ BAT ➝ PowerShell을 통한 다단계 실행. |
| 서명된 바이너리 프록시 실행(wscript, rasphone, regsvr32) | T1218 | 실행 및 사이드로딩을 위해 wscript.exe, regsvr32.exe, rasphone.exe와 같은 LOLBIN을 사용합니다. | |
| 스크립팅(스크립틀릿 - .sct 파일) | T1059.005 | regsvr32를 통해 run.sct를 사용하여 추가 페이로드를 실행합니다. | |
| 고집 | 예약된 작업/작업 | T1053.005 | SysUpdater, UtilityUpdater와 같은 작업은 반복적으로 실행되도록 예약되어 있습니다. |
| 권한 에스컬레이션 | DLL 검색 순서 하이재킹 | T1574.001 | rasphone.exe를 통한 DLL 사이드로딩, Shadow RAT를 위한 node-webkit, Blister 로더. |
| 방어 회피 | 난독화된 파일 또는 정보 | T1027 | 난독화된 스크립트, 2진법으로 인코딩된 CXNUMX 구성, SCT의 정크 코드. |
| 파일 또는 정보의 난독화/디코드 | T1140 | INET RAT가 list.txt에서 C2 구성을 해독하고 있습니다. | |
| 소프트웨어 패키징(셸코드 로더) | T1027.002 | Blister는 AES를 사용하여 update.dat에서 셸코드를 복호화하고 삽입합니다. | |
| 간접 명령 실행 | T1202 | P/Invoke를 사용하여 DLL을 로드하고 regsvr32를 통해 SCT를 실행합니다. | |
| 자격 증명 액세스 | 입력 캡처(Shadow/INET RAT 내 잠재력) | T1056 | RAT 기능은 자격 증명 도용의 가능성을 내포합니다. |
| 발견 | 시스템 정보 검색 | T1082 | INET RAT는 실행 시 컴퓨터/사용자 이름을 수집합니다. |
| 명령 및 제어 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | T1071.001 | Shadow/INET RAT는 HTTP(S)를 통해 통신합니다. |
| 인그레스 도구 전송 | T1105 | 외부 서버에서 다운로드한 페이로드와 미끼. | |
| 수집 | 로컬 시스템의 데이터 | T1005 | 파일 수집이나 클립보드 접근을 위해 RAT를 통해 접근했을 가능성이 높습니다. |
| 여과 | C2 채널을 통한 유출 | T1041 | Shadow/INET RAT 역방향 셸 기능은 동일한 HTTP 채널을 통한 데이터 터널링을 제안합니다. |
작성자
사트윅 람 프라키
수바지트 싱하
