- 주요 목표
- 영향을 받는 산업
- 지리적 초점.
- 감염 사슬 – IconCat 작전.
- 감염 사슬 – I.
- 감염 사슬 – II.
- 캠페인 분석 – IconCat 작전.
- 캠페인-I
- 초기 조사 결과.
- 악성 PDF 파일을 조사하고 있습니다.
- 기술적 분석
- 악성 PyInstaller 임플란트 – PYTRIC
- 캠페인-II
- 초기 조사 결과.
- 악성 스피어피싱 공격에 사용된 아웃룩 파일을 조사하고 있습니다.
- 기술적 분석
- 악성 워드 문서.
- 악성 녹 임플란트 – 러스트릭
- 기반시설 분석.
- 결론
- SEQRITE 보호.
- IOC
- 미터 공격.
- 초기 조사 결과.
- 초기 조사 결과.
- 캠페인-I
개요
SEQRITE Labs의 APT 팀은 추적을 진행해 왔습니다. 미확인 클러스터 [UNG0801]약간 진화했지만 지속적인 위협 요소로 추정되는 이 개체는 다음으로부터 비롯된 것으로 여겨집니다. 서아시아주로 다음과 같은 활동이 관찰되었습니다. 이스라엘 조직들이 클러스터는 ~에 강한 집중도를 보여줍니다. 기업 환경에 의존 사회공학적 피싱 미끼 쓰여진 히브리어 또한 규정 준수 업데이트, 보안 권고 또는 기업 웹 세미나 공지와 같은 일상적인 내부 커뮤니케이션과 유사하게 설계되었습니다.
관찰된 캠페인 전반에 걸쳐 반복적으로 나타나는 패턴은 행위자가 다음에 크게 의존한다는 점입니다. 안티바이러스 아이콘 스푸핑유명 보안 업체들의 브랜딩, 특히 다음과 같은 업체들의 브랜딩이 두드러집니다. 센티넬원과 체크포인트이는 거짓된 정당성을 만들어내기 위해 악용됩니다. 이러한 AV 테마의 가짜들은 다음과 같습니다. 악성 Word 및 PDF 문서에 의해 드롭됨이는 초기 전달 메커니즘 역할을 합니다. 문서가 열리면 미끼 콘텐츠가 추출되거나 실행되어 사용자 상호 작용 및 후속 침해 가능성이 높아집니다.
이 활동은 처음에 SEQRITE Labs에서 내부적으로 추적되었습니다. 아이콘캣 작전, 하는 동안 두 개의 서로 다른 감염 사슬 ~부터 확인되었습니다 2025년 11월 셋째 주두 캠페인 모두 이스라엘 전역의 특정 조직을 표적으로 삼았습니다. 캠페인의 실행 방식과 지원 체계는 다르지만, 공통적으로 이스라엘 전역의 특정 조직을 대상으로 악용했다는 공통점이 있습니다. 짧은 운영 기간 내 AV 아이콘 스푸핑 이는 공통된 운영자 또는 공격 전략을 시사한다고 생각합니다. 이러한 행동적 연관성을 바탕으로 SEQRITE Lab APT-Team은 이러한 캠페인들을 단일 활동 클러스터로 분류했으며, 현재 이를 추적하고 있습니다. UNG0801이는 향후 연구에 따라 변경될 수 있습니다.
주요 목표
UNG0801은 두 개의 캠페인 클러스터로 구성되어 있으며, 다음과 같이 선정된 관심 관할 지역의 특정 산업군을 대상으로 합니다.
영향을 받는 산업
- 정보 기술 및 관리형 서비스 제공업체.
- 인사 및 채용 서비스.
- 소프트웨어 개발 및 기술 회사
지리적 초점
- Israel
감염 사슬 – IconCat 작전.
캠페인 – 나
캠페인 – II
캠페인 분석 – 아이콘캣 작전
앞서 언급했듯이, 저희는 이러한 위협 캠페인들을 UNG0801이라는 이름으로 묶었으며, 유명 벤더의 안티바이러스 아이콘을 악용하는 공통적인 공격 방식을 사용했기 때문에 '아이콘캣 작전(Operation IconCat)'이라고도 부릅니다. 이제부터는 이러한 캠페인의 세부적인 내용, 악성코드 삽입 방식, 그리고 기타 구체적인 사항들을 다음 섹션에서 자세히 살펴보겠습니다.
캠페인 – 나
AV 악용에 초점을 맞춘 이번 공유 플레이북 캠페인에서, 우리는 CheckPoint Anti-Malware 벤더의 아이콘을 사칭하여 PyInstaller 임플란트의 로고로 사용하는 첫 번째 캠페인을 발견했습니다. 우리는 이 캠페인을 'PyInstaller'라고 명명하기로 했습니다. PYTRIC이는 합법적인 바이너리 파일처럼 작동하므로, UNG0801 또는 IconCat 작전 하의 첫 번째 캠페인 또는 클러스터로 추적하고 있습니다.
초기 조사 결과.
SEQRITE Labs APT-Team에서는 바로가기 파일, 스피어 피싱 이메일, 악성 설치 프로그램 등과 같은 초기 접근 페이로드를 꼼꼼하게 추적하는데, 그러던 중 help.pdf라는 이름의 PDF 파일을 발견했습니다.
이 샘플은 2025년 11월 16일에 공개 샌드박스 코퍼스에 업로드되었으며, 최초 업로드 시 이스라엘의 지리적 위치를 기준으로 했습니다. 우리와 함께 다른 사람들도 이 샘플에 포함되었습니다. 보안 연구원 이 캠페인도 발견했습니다.
악성 PDF 파일을 조사하고 있습니다.
PDF 파일을 처음 분석한 결과, 도움말.pdf우리는 그것이 다음과 같은 역할을 한다는 것을 관찰했습니다. 문서 기반 유인책 그리고 감염 사슬의 다음 단계를 위한 전달 메커니즘해당 문서에는 피해자에게 라는 이름의 도구를 다운로드하라는 지시가 나와 있습니다. “보안 스캐너”, 호스팅되는 곳 드롭 박스 비밀번호로 보호되어 있습니다. "클라우드스타". 사회공학적 기법의 일환으로, 해당 문서는 사용자들에게 다음 사항을 확인하도록 권고합니다. 도구의 최신 버전그것을 ~와 연관시킴으로써 그것의 정당성을 거짓으로 암시한다. 체크 포인트.
미끼를 최대한 관련성 있게 만들기 위해 PDF 파일에는 Check Point Anti-Malware 공급업체에서 제공하는 보안 도구의 로고와 시작 화면 이미지도 포함되어 있습니다.
다음 페이지에서 문서는 제공에 중점을 둡니다. 스캔을 시작하기 위한 단계별 지침여기에는 대상 드라이브 또는 폴더 선택 및 다음 옵션 중에서 선택하는 것이 포함됩니다. 빨리 or 포괄적 인 스캔 모드에 대한 설명과 함께 사용자가 스캔 프로세스를 시작하거나 중지하는 방법, 화면상의 진행률 표시기를 통해 스캔 진행 상황을 시각적으로 모니터링하는 방법도 설명하여, 합법적이고 기능적인 보안 도구라는 인상을 강화합니다.
이 PDF 파일의 세 번째 페이지에서는 종합 스캔, 빠른 스캔 등 이용 가능한 스캔 유형에 대해 자세히 설명합니다.
이 악성 PDF 파일의 마지막 페이지는 다음 내용에 초점을 맞추고 있습니다. 스캔 결과 인터페이스스캔 프로세스가 완료되면 표시되는 섹션입니다. 이 섹션에는 주요 지표 요약이 포함되어 있으며, 여기에는 다음이 포함됩니다. 스캔된 파일의 총 개수, 감지된 위협및 전체 스캔 시간. 추가적으로, 그것은 제공합니다 의심스러운 파일 및 실행 중인 프로세스의 상세 목록일반적인 개선 권장 사항과 함께 제공됩니다.
다음 섹션에서는 PDF 설명서에서 피해자에게 Dropbox에서 다운로드하도록 지시하는 2단계 페이로드에 대한 기술적 분석을 살펴보겠습니다.
기술적 분석
이 섹션에서는 PYTRIC으로 추적되는 임플란트의 기술적 기능에 대해 자세히 살펴보겠습니다.
악성 PyInstaller 임플란트 – PYTRIC.
처음에 바이너리 파일을 기본 분석 도구에 불러왔을 때, 해당 파일이 다음 패키징 방식을 사용하고 있음을 확인했습니다. 파이 인스톨러간단히 말하면, 이는 악성 소프트웨어가 원래 어떤 언어로 작성되었다는 것을 의미합니다. Python 그런 다음 독립 실행형 Windows 실행 파일로 패키징됩니다. PyInstaller는 Python 인터프리터, 필요한 라이브러리 및 공격자의 Python 코드를 단일 바이너리로 패키징하여 Python이 설치되지 않은 시스템에서도 실행할 수 있도록 합니다. 이 기법은 배포를 간소화하는 동시에 얇은 난독화 계층을 추가하여 정적 분석을 다소 어렵게 만들기 때문에 위협 행위자들이 흔히 악용합니다.
따라서 우리는 이 악성 PYZArchive에서 파일을 추출하기로 결정했고, main.pyc 파일을 역컴파일한 결과 악성 코드 조각을 발견했습니다.
마지막으로, 악성 스크립트에는 특정 작업을 수행하기 위한 여러 메시지가 포함되어 있음을 알 수 있습니다.
그런 다음, 우리는 scan_files라는 흥미로운 함수들을 발견했는데, 이 함수는 기본적으로 대상 시스템의 모든 파일을 스캔합니다. 또 다른 함수는 스크립트 또는 임플란트인 PYTIC이 특정 작업을 수행할 수 있는 관리자 권한을 가지고 있는지 확인하는 기능을 합니다.
이 스크립트의 마지막 부분에서는 공격자(TA) 측에서 실행된 여러 명령어를 확인할 수 있습니다. 이러한 명령어들은 시스템 전체 초기화, 모든 백업 삭제, 백업 상태 확인 등 다양한 작업을 수행하여, 피해자 측에서 일종의 데이터 삭제 프로그램(와이퍼) 역할을 합니다.
따라서, 우리는 PYTRIC 임플란트가 PyInstaller를 기반으로 하는, 제대로 프로그래밍되지 않은 악성 프로그램이라는 결론을 내립니다. 또한, 텔레그램 봇 토큰을 조사한 결과, TA에 접속하는 데 사용된 봇의 이름이 Backup2040이며, 이 봇이 위의 작업을 수행하는 데 사용된 것을 확인했습니다.
캠페인 – II
이번 두 번째 캠페인에서는 안티바이러스 악용에 초점을 맞춰 SentinelOne 안티멀웨어 벤더의 아이콘을 사칭하고, 이를 Rust 기반 악성 프로그램(RUSTRIC으로 명명)의 로고로 사용하여 합법적인 바이너리처럼 위장한 것을 발견했습니다. 따라서 이 악성 프로그램을 UNG0801 또는 Operation IconCat이라는 두 번째 캠페인 또는 클러스터로 추적하고 있습니다.
초기 조사 결과.
첫 번째 공격 캠페인을 추적한 후, 우리는 이스라엘에서 업로드된 악성 스피어 피싱 이메일도 추적하고 확인했습니다.
보시다시피, 해당 샘플은 2025년 11월 17일에 공개 샌드박스 코퍼스에 업로드되었습니다. 이제 악성 스피어 피싱 이메일을 살펴보겠습니다.
악성 스피어피싱 이메일 파일을 조사하고 있습니다.
처음에 악성 스피어 피싱 이메일을 조사했을 때, 다음과 같은 사실을 발견했습니다. LM 그룹을 사칭함해당 업체는 합법적인 이스라엘 인사 및 인력 서비스 회사인 lm.co.il 도메인을 악용했습니다. 이메일 내용을 조사한 결과, 해당 업체는 일반적인 부서 발신자 이름과 정중한 히브리어 표현을 사용하여 마치 회사 내부 공지처럼 보이도록 문구를 구성했으며, Webinar.doc 및 Webinar.zip 파일을 회사 지침 및 웨비나 자료인 것처럼 첨부했습니다.
기술적 분석
이 섹션에서는 이 캠페인의 두 가지 구성 요소에 초점을 맞출 것입니다. 첫 번째는 매크로가 포함된 악성 워드 문서이며, 이는 두 번째이자 최종 단계인 RUSTRIC으로 이어집니다.
악성 워드 문서.
처음에 파일 분석 도구를 사용해 살펴보니 해당 파일 형식이 매크로가 포함된 문서 파일이라는 것을 알게 되었습니다.
또한, 문서가 기본적으로 손상되었으며 워드 파일의 유일한 목적은 최종 스테이저를 드롭하는 것임을 확인했습니다. 스트림을 분석한 결과, 모든 스트림 중에서 악성 코드가 포함된 흥미로운 스트림은 단 두 개뿐이라는 것을 알아냈습니다.
악성 매크로를 추가로 분석한 결과, 특정 작업을 수행하는 몇 가지 흥미로운 함수 세트가 포함되어 있음을 발견했습니다. 또한 공격자가 분석가와 대상에게 "안녕하세요 : ), 좋은 시간 보내세요 : )"라는 매우 따뜻한 메시지를 남긴 것도 확인했습니다.
WriteHexToFile 함수를 분석한 결과, 해당 함수는 다음과 같은 역할을 담당하는 것으로 확인되었습니다. 최종 단계 페이로드 추출 및 재구성 UserForm1 스트림에서 읽어옵니다. 이 함수는 많은 양의 데이터를 읽습니다. 16진수로 인코딩된 블롭 UserForm1.TextBox1.Text의 디자인 타임 값에 저장된 16진수 문자열을 추출하여 공백 및 줄 바꿈과 같은 서식 관련 요소를 모두 제거하고 데이터의 무결성을 검증합니다. 그런 다음 16진수 문자열을 바이트 단위로 디코딩하여 원시 바이너리 형태로 변환하고 재구성된 페이로드를 대상 시스템의 PhotoAcq.log 파일로 디스크에 기록합니다. 다운로드 PhotoAcq.log로 알려진 디렉토리입니다.
또한, 공격자가 이모티콘을 과도하게 사용하고 악성 스크립트 전체에 걸쳐 유사한 메시지를 반복해서 남기는 매우 독특한 패턴을 발견했습니다.
다음으로, love_me_ 함수가 담당하는 기능을 살펴보면 다음과 같습니다. 재구성된 페이로드를 실행합니다 일단 디스크에 기록되면, 피해자의 시스템에 저장된 드롭된 파일인 PhotoAcq.log의 전체 경로를 생성합니다. 다운로드 디렉토리이며, 이를 활용합니다. WMI (Windows Management Instrumentation) 이를 실행하기 위해서입니다. 구체적으로, 매크로는 root\cimv2 네임스페이스를 통해 Win32_Process 클래스에 대한 핸들을 얻고 Create 메서드를 호출하여 새 프로세스를 생성합니다.
다음으로, 마지막 탑재체인 RUSTRIC에 대해 살펴보겠습니다.
악성 녹 임플란트 – 러스트릭
처음에 해당 바이너리를 초기 분석 도구에 로드했을 때, 이것이 Rust 기반의 악성코드라는 것을 알아냈습니다.
메인 함수에 접근해 보니, Rust 바이너리라서 그런지 라이브러리와 코드 조각들이 뒤섞여 있었고, 그다지 흥미롭지 않은 부분들이 많았습니다.
계속해서 살펴보니, 대상 컴퓨터에 설치된 안티바이러스 목록을 열거하는 등 다양한 작업을 수행하는 흥미로운 함수를 발견했습니다.
앞서 언급했듯이, 이 악성 프로그램은 QuickHeal, CrowdStrike, CheckPoint, ESET 등을 포함한 총 28개의 안티바이러스 프로그램을 열거하는 것으로 나타났습니다. 이는 안티멀웨어 에이전트 파일의 파일명, 특정 폴더 등을 분석하여 얻은 결과입니다. 이 악성 프로그램이 열거한 안티멀웨어 업체 목록은 다음과 같습니다.
| # | 안티바이러스 이름 |
| 1 | 빠른 치유 |
| 2 | 마이크로 소프트 수비수 |
| 3 | 어베스트 |
| 4 | AVG |
| 5 | AVIRA |
| 6 | 디펜더 |
| 7 | 카스퍼 스키 |
| 8 | ESET |
| 9 | 맥아피 |
| 10 | 노턴 |
| 11 | 트렌드 마이크로 |
| 12 | 소포스 (Sophos) |
| 13 | Malwarebytes |
| 14 | 팬더 보안 |
| 15 | F - 시큐어 |
| 16 | 코모도 |
| 17 | 웹 루트 |
| 18 | 사일런스 |
| 19 | 센티넬 원 |
| 20 | VMware 카본 블랙 |
| 21 | CrowdStrike |
| 22 | G 자료 |
| 23 | Qihoo 360 |
| 24 | K7 컴퓨팅 |
| 25 | 닥터 웹 |
| 26 | 체크 포인트 |
| 27 | BullGuard |
| 28 | Emsisoft |
또한, 열거가 완료되고 임플란트가 특정 AV가 존재하지 않는 것을 발견하면 다음과 같은 메시지를 출력합니다.탐지된 항목이 없습니다.다음으로, AV 열거가 완료되면 다음 일련의 작업을 수행합니다.
처음에 이 프로그램은 whoami.exe라는 명령어를 실행하는데, 이는 임플란트 프로그램들이 일반적으로 수행하는 동작이지만 상당히 시끄럽습니다.
다음으로, 호스트 이름.exe 명령을 실행하는데, 이는 대상의 호스트 이름을 열거하는 일반적인 동작입니다.
그리고 마지막으로 실행되는 명령어는 nslookup.exe인데, 이는 기본적으로 네트워크 관련 작업을 수행하는 명령어입니다.
자, 마지막으로 중요한 점은, 명령 및 제어 프레임워크의 주소도 추출했다는 것입니다. 이 경우, 악성 프로그램은 C2 주소에 연결을 여러 번 시도했습니다.
이제 기본적인 임플란트에 대한 분석을 마무리하면서, 다음으로는 인프라 기반 인공물들을 살펴보겠습니다.
기반시설 분석.
첫 번째 캠페인에서는 공격자가 통신 및 인프라 기반 작업에 텔레그램을 악용하고 있음을 파악했으며, 두 번째 캠페인에서는 임플란트에서 명령 및 제어 기능을 추출했습니다.
인프라 세부 정보를 살펴보니 웹페이지의 HTTPS 버전으로 여러 번 리디렉션된 것을 확인했으며, 최신 응답에서 해당 웹페이지가 443번 포트에서 서비스되고 있음을 확인했습니다. 저희는 이 포트가 C2 서버와의 통신에 사용되는 포트라고 생각합니다.
다음으로, 인프라 검토 과정에서 흥미로운 점을 발견했습니다. 도메인에 매핑된 IP 주소가 여전히 netvigil.org CNAME 레코드와 연결되어 있었고, 분석 대상 도메인에 발급된 TLS 인증서 대신 해당 도메인에 발급된 TLS 인증서를 계속 사용하고 있었습니다. 이는 해당 VPS가 이전에 netvigil.org를 호스팅했으며, 새 도메인에 맞게 완전히 재구성되지 않았음을 나타냅니다. 실제로, 이러한 유형의 잔여물, 즉 기본 호스트가 이전 설정에서 남은 인증서나 가상 호스트 항목을 유지하는 현상은 저가형 또는 용도 변경된 인프라에서 흔히 발생하며 악의적인 공격에 자주 이용됩니다.
우리는 해당 행위자가 기존 설정을 정리하지 않고 기존 서버에 새 도메인을 연결했을 뿐이라고 생각합니다.
Censys의 인증서 이력 검토 결과도 이러한 평가를 뒷받침합니다. netvigil.org를 조회했을 때, 와일드카드 항목(*.netvigil.org)을 포함하여 동일 도메인에 연결된 여러 개의 활성 및 최근 발급된 인증서를 확인했습니다.
결론
따라서, 두 캠페인의 동기는 다르지만, 실행을 위해 임플란트에 있는 AV 아이콘을 악용하는 매우 유사한 전략을 공유한다는 결론을 내립니다. 이는 두 캠페인을 UNG0801 클러스터로 묶는 공통점입니다. 첫 번째 캠페인은 Check Point의 아이콘과 테마를 악용하여 시스템 정보를 삭제하는 등의 파괴적인 작업을 수행하는 PYTRIC 임플란트를 배포하는 반면, 두 번째 캠페인은 Sentinel One의 아이콘과 다소 유사한 테마를 악용하여 RUSTRIC 임플란트를 배포하는데, 이는 스파이 활동 목적으로 추정됩니다.
배후를 정확히 파악하는 것은 어렵고 혼란스러운 일이지만, 캠페인의 진행 방식과 시기가 상당히 유사하다는 점을 고려하여 이들을 'Operation IconCat' 또는 'UNG0801'로 분류합니다. 첫 번째 캠페인은 데이터 탈취나 스파이 행위를 목적으로 하지 않는 반면, 두 번째 캠페인은 고도 지속적 위협(APT) 그룹의 행동을 모방하여 스파이 활동에 초점을 맞춘 것으로 판단됩니다.
따라서, 이것으로 우리의 연구를 요약할 수 있으며, 위에서 제시한 이유들을 바탕으로 캠페인들을 하나의 클러스터로 묶는 것이 타당하다는 확신을 가질 수 있습니다. 변화에 영향을 받는 것, 또한 특정 차이점을 강조합니다.
SEQRITE 보호.
- 주사
- Win64
- 트로이 목마.50253.GC
- 트로이 목마.50255.GC
- 트로이 목마.50254.GC
IOC
| 해시 | 파일 형식 |
| 6df21646d13c5b68c14c70516dfc74ef2aef4a4246970d7f4fbd072053ba40e6 | Outlook |
| 6f079c1e2655ed391fb8f0b6bfafa126acf905732b5554f38a9d32d0b9ca407d | 문서 |
| 77ceeb88a1fe4fb03af1acc589e02aeb156e3b22b110124ce1b25c940b0d9bbe | ZIP |
| 54ebdea80d30660f1d7be0b71bc3eb04189ef2036cdbba24d60f474547d3516a | EXE |
| 2afcac3231235b5cea0fc702d705ec76afec424a9cec820749b83b6299d1fe1b | EXE |
| e422c2f25fbb4951f069c6ba24e9b917e95edb9019c10d34de4309f480c342df |
호스트/IP 주소
| stratioai[.]org |
| hxxps://www[.]dropbox[.]com/scl/fi/e2tctz6iy0s81dcxysbkf/help.pdf?rlkey=4b3uydquzd0h5xe7lk0gk95r9&st=c1qfydwi&dl=1 |
| 159 [.] 198 [.] 68 [.] 25 |
MITER ATT & CK
| 술책 | 기술 ID | 기술명 | IconCat 작전에 적용되는 방법 |
| 초기 액세스 | T1566.001 | 피싱: 스피어피싱 첨부 파일 | 두 공격 모두 스피어 피싱을 통해 전달되는 악성 PDF 및 Word 문서 첨부 파일을 이용합니다. |
| T1566.002 | 피싱: 스피어피싱 링크 | Campaign-I는 피해자들에게 Dropbox에서 가짜 "보안 스캐너"를 다운로드하라고 지시합니다. | |
| T1204.002 | 사용자 실행: 악성 파일 | 피해자들은 사회공학적 기법을 통해 PDF/Word 문서를 수동으로 열도록 유도됩니다. | |
| 실행 | T1059.006 | 명령 및 스크립팅 해석기: Python | Campaign-I는 PyInstaller로 패키징된 Python 악성코드(PYTRIC)를 배포합니다. |
| T1059.005 | 명령 및 스크립팅 인터프리터: Visual Basic | Campaign-II는 워드 문서에 악성 VBA 매크로를 사용합니다. | |
| T1047 | 윈도우 관리 계장 | RUSTRIC은 WMI(Win32_Process.Create)를 통해 실행됩니다. | |
| 방어 회피 | T1036.005 | 가장 무도회: 적법한 이름 또는 위치 일치 | 두 캠페인 모두 신뢰할 수 있는 안티바이러스 업체(Check Point 및 SentinelOne)를 사칭합니다. |
| T1027 | 난독화된 파일 또는 정보 | 페이로드는 워드 문서 내에서 16진수로 인코딩되어 있습니다. | |
| T1218 | 서명된 바이너리 프록시 실행 | 악성 프로그램 실행은 신뢰할 수 있는 Windows 바이너리(예: wmic, nslookup, whoami, hostname)를 악용합니다. | |
| 발견 | T1518.001 | 보안 소프트웨어 발견 | RUSTRIC은 알려진 파일 경로와 프로세스 표시기를 확인하여 28가지의 서로 다른 안티바이러스 및 EDR 제품을 열거합니다. |
| 명령 및 제어 | T1105 | 인그레스 도구 전송 | Campaign-I는 감염 과정의 일부로 Dropbox에서 2단계 페이로드를 가져옵니다. |
| T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 | 두 악성 프로그램 모두 표준 웹 기반 프로토콜을 통해 공격자가 제어하는 C2 인프라에 연결하려고 시도합니다. |
