RMM 도구(Syncro, SuperOps, NinjaOne 등)를 이용한 비디오 파일로 위장한 악성코드

요약

위협 행위자는 사용자들을 가짜 Google 드라이브 페이지로 유인하기 위해 악성 PDF 미끼를 사용하고 있으며, 이 페이지는 “비디오” 다운로드를 광고합니다. 미디어 파일 대신 이 사이트는 공격자에게 신뢰할 수 있는 원격 액세스 및 손상된 엔드포인트에 지속성을 제공하는 Syncro, ScreenConnect, NinjaOne, SuperOps 등의 도구를 포함한 서명된 RMM 설치 프로그램을 제공합니다.

조사

안랩(AhnLab)은 Invoice_Details.PDF 등의 파일명을 활용한 PDF 기반 피싱 활동이 adobe-download-pdf.com 또는 유사한 drivegoogle.com 포털로 피해자를 리디렉션하고 있음을 관찰했습니다. 제공된 RMM 설치 프로그램은 재사용된 인증서로 서명되었으며, 전개 또는 자동 배포와 일치하는 설치 매개변수(예: 키 및 고객 ID)가 포함되어 있었습니다. 이 설치 프로그램은 Advanced Installer 또는 NSIS와 같은 일반적인 패키징 프레임워크를 사용해 생성되고, 몇몇 경우에는 추가 페이로드를 가져오기 위한 부트스트래퍼 역할을 했습니다.

완화 방안

서명되지 않았거나 예기치 않게 서명된 바이너리를 포함한 비인가된 RMM 도구 사용을 제한하거나 차단하고, 원격 액세스 소프트웨어 설치에 대한 더 강력한 제어를 시행하십시오. PDF 미끼와 의심스러운 리다이렉트 행동을 감지하기 위한 엄격한 이메일 첨부 파일 검사를 적용하고, 게이트웨이 및 프록시 계층에서 알려진 악성 도메인을 차단하십시오. 설치 전에 코드 서명 인증서와 발행자 세부 정보를 확인하고, 승인된 RMM 제품을 패치하며, 명확하게 승인된 관리자에게만 사용을 제한하십시오.

대응

신뢰할 수 없는 출처에서 RMM 설치 프로그램이 실행되거나 식별된 파일명, URL, 리다이렉트 패턴에 접근할 때 경고하십시오. 영향을 받은 호스트를 격리하고, 설치 프로그램 아티팩트와 실행 텔레메트리를 수집하며, 설치 후 다운로드된 모든 2차 페이로드를 식별하기 위해 포렌식 조사(전문 트리아지)를 수행하십시오. 악성 RMM 에이전트를 제거하고, 잠재적으로 노출된 자격 증명을 재설정하며, 환경 전반에 걸쳐 관련된 RMM 배포 시도를 추적하는 범위를 확장하십시오.

시뮬레이션 실행

전제 조건: 텔레메트리 및 베이스라인 사전 검사에 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 계획된 적대적 기술(TTP)의 정확한 실행을 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영하고 탐지 로직에 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 잘못된 진단으로 이어질 수 있습니다.

• 공격 내러티브 및 명령:

  1. 피싱 전송: 적대자는 악성 PDF “Invoice #12345.pdf”가 첨부된 스피어 피싱 이메일을 전송합니다. PDF는 열릴 때 악성 JavaScript 페이로드를 포함하여 Syncro.exe 를 %TEMP%에 드롭합니다. %TEMP%.

  2. 실행: 페이로드는 실행 정책을 우회하고 바이너리를 실행하기 위해 PowerShell 명령을 실행합니다:

     powershell -NoP -W Hidden -Exec Bypass -Command "Start-Process -FilePath "$env:TEMPSyncro.exe" -ArgumentList '/silent'"

  3. 결과 텔레메트리: Windows는 Image = C:Users<user>AppDataLocalTempSyncro.exe이 포함된 이벤트 ID 4688을 기록하고 Image = C:Users<user>AppDataLocalTempSyncro.exe, Sigma 규칙의 Image|endswith: 'Syncro.exe'. 알림은 높음 의 심각도로 생성됩니다.

• 회귀 테스트 스크립트: 다음 스크립트는 제어된 실험 환경에서 정확한 행동을 재현합니다. 테스트 목적을 위해 알려진 RMM 바이너리를 temp 디렉토리에 복사하고 프로세스 생성 이벤트가 동일하게 발생하도록 무해한 플래그로 실행합니다.

  # -------------------------------------------------
  # 시뮬레이션 스크립트 – RMM 도구 프로세스 규칙 트리거
  # -------------------------------------------------
  # 전제 조건:
  #   - C:Tools에 Syncro.exe 복사본(테스트를 위한 정품 바이너리) 배치
  #   - %TEMP%에 쓰기 위한 관리자 권한
  # -------------------------------------------------
  
  $src  = "C:ToolsSyncro.exe"
  $dest = "$env:TEMPSyncro.exe"
  
  Write-Host "[*] 임시 위치로 RMM 바이너리 복사를 시작합니다..."
  Copy-Item -Path $src -Destination $dest -Force
  
  Write-Host "[*] 프로세스 생성 텔레메트리를 생성하기 위해 바이너리를 실행합니다..."
  Start-Process -FilePath $dest -ArgumentList '/silent' -WindowStyle Hidden
  
  Write-Host "[+] 실행 완료. SIEM에서 탐지를 확인하십시오."
  # -------------------------------------------------

• 정리 명령: 테스트 바이너리를 제거하고 남아있는 모든 프로세스를 종료하십시오.

  # 남아있는 Syncro 프로세스 종료
  Get-Process -Name "Syncro" -ErrorAction SilentlyContinue | Stop-Process -Force
  
  # 임시 복사본 삭제
  Remove-Item -Path "$env:TEMPSyncro.exe" -Force -ErrorAction SilentlyContinue
  
  Write-Host "[*] 정리가 완료되었습니다."