SOC Prime Bias: 높음

12 2월 2026 18:45
newspaper icon Huntress

랜섬웨어 작전에 악용된 직원 모니터링 및 SimpleHelp 소프트웨어

Author Photo
Ruslan Mikhalov SOC Prime에서 위협 연구 책임자 linkedin icon 팔로우
랜섬웨어 작전에 악용된 직원 모니터링 및 SimpleHelp 소프트웨어
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

위협 행위자는 피해자 네트워크에 지속적으로 접근하기 위해 Net Monitor for Employees와 SimpleHelp 원격 관리 플랫폼을 악용했습니다. 합법적인 상업용 도구를 통해 운영하여 침입자는 추가 페이로드를 다운로드하고 Crazy 랜섬웨어(VoidCrypt 변종)를 배포하려 했습니다. 공유 C2 도메인 및 IP 주소를 포함한 중복 인프라는 두 사건에 동일한 운영자가 있었음을 시사합니다. 이 활동은 자격 증명/암호화폐 도난 모니터링과 랜섬웨어 갈취 시도를 결합한 수익 지향적이었습니다.

조사

Huntress는 Net Monitor for Employees가 역방향 셸 기능 및 서비스 위장을 가능하게 하고, SimpleHelp가 백업 지속성을 제공한 초기 2026년 인트루전을 두 건 문서화했습니다. 분석가들은 이름이 바뀐 vhost.exe 다운로드, winpty-agent.exe 실행, Windows Defender 설정 조작으로 방어를 약화시키려는 시도를 관찰했습니다. 초기 접근에는 손상된 VPN 자격 증명도 포함되었으며, 도구는 조용한 msiexec 실행을 통해 설치되었습니다. 여러 개의 Crazy 랜섬웨어 바이너리(encrypt.exe)가 드롭되었지만, 랜섬웨어 단계는 실행되지 않았습니다.

완화

모든 원격 액세스 경로에서 MFA를 우선화하고, 권한 있는 계정을 최소화하며, 네트워크를 세분하여 횡방향 이동을 제한하십시오. 타사 관리 도구를 적극적으로 감사하고, 의심스러운 프로세스 체인, 조용한 msiexec 설치, 서비스 이름 위장에 대해 경고를 설정하십시오. 알려진 C2 인프라를 차단하거나 모니터링하고, 애플리케이션 제어를 사용하여 무단 RMM 바이너리가 실행되는 것을 방지하십시오.

대응

탐지되었을 경우, 영향을 받은 시스템을 격리하고, 악성 프로세스를 중단하며, 무단 RMM 서비스를 제거하십시오. 주요 아티팩트(바이너리, 설치 흔적, 로그)를 보존하고, 관련 C2 도메인/IP를 차단하며, 손상된 자격 증명을 재설정하십시오. 환경 전반의 관리자 도구 인벤토리를 수행하여 합법성을 검증하고, 레지스트리 변경 사항을 복구하며, Defender 조작이나 보안 컨트롤 비활성화 시도를 되돌리십시오.

“graph TB %% Class Definitions classDef technique fill:#e0f7fa classDef tool fill:#ffe0b2 classDef process fill:#d1c4e9 %% Nodes step1[“<b>기법</b> – T1078 유효한 계정<br/>원격 액세스를 위해 손상된 공급업체 SSL VPN 자격 증명 사용.”] class step1 technique step2[“<b>기법</b> – T1021.001 원격 서비스: 원격 데스크톱 프로토콜<br/>도메인 컨트롤러 접근에 RDP 사용.”] class step2 technique step3[“<b>기법</b> – T1218.007 시스템 바이너리 프록시 실행: Msiexec<br/>Net Monitor for Employees MSI를 조용히 설치.”] class step3 technique tool_msiexec[“<b>도구</b> – Msiexec<br/><b>목적</b>: MSI 패키지 설치”] class tool_msiexec tool step4[“<b>기법</b> – T1036 위장<br/>OneDriveSvc로 등록된 서비스, OneDriver.exe로 이름 변경된 프로세스가 svchost.exe로 변경됨.”] class step4 technique step5[“<b>기법</b> – T1136.002 계정 생성: 도메인 계정<br/>내장 관리자 활성화 및 새 계정 생성.”] class step5 technique step5b[“<b>기법</b> – T1136.001 계정 생성: 로컬 계정”] class step5b technique step5c[“<b>기법</b> – T1098.007 추가 로컬 또는 도메인 그룹<br/>계정을 권한 있는 그룹에 추가.”] class step5c technique step6[“<b>기법</b> – T1012 레지스트리 쿼리<br/>레지스트리를 수정하여 Windows Defender 비활성화.”] class step6 technique step6b[“<b>기법</b> – T1553 신뢰 컨트롤 변조<br/>보안 컨트롤 비활성화.”] class step6b technique step7[“<b>기법</b> – T1059.001 PowerShell<br/>winpty-agent.exe를 사용하여 vhost.exe(SimpleHelp)를 다운로드.”] class step7 technique tool_winpty[“<b>도구</b> – winpty-agent.exe<br/><b>기능</b>: PowerShell 페이로드 다운로드”] class tool_winpty tool malware_simplehelp[“<b>악성코드</b> – vhost.exe(SimpleHelp)”] class malware_simplehelp process step8[“<b>기법</b> – T1102 웹 서비스<br/>도메인 프론팅을 통한 양방향 및 단방향 HTTPS 통신.”] class step8 technique step8b[“<b>기법</b> – T1090.004 도메인 프론팅<br/>dronemaker.org 및 다른 게이트웨이로의 HTTPS 트래픽.”] class step8b technique step9[“<b>기법</b> – T1087.001 계정 발견: 로컬 계정<br/>넷 명령을 통해 로컬 계정 열거.”] class step9 technique step9b[“<b>기법</b> – T1087.002 계정 발견: 도메인 계정<br/>도메인 계정 열거.”] class step9b technique step10[“<b>기법</b> – T1486 영향을 위한 데이터 암호화<br/>Crazy 랜섬웨어 배포 시도.”] class step10 technique malware_crazy[“<b>악성코드</b> – Crazy 랜섬웨어”] class malware_crazy process step10b[“<b>기법</b> – T1027.009 암호화된 파일 또는 정보: 내장 페이로드<br/>여러 암호화된 바이너리.”] class step10b technique step11[“<b>기법</b> – T1574.010 실행 흐름 하이재킹: 서비스 파일 권한 약점<br/>이름 변경된 바이너리 및 서비스를 합법적으로 나타나도록 만듦.”] class step11 technique %% Connections step1 u002du002d>|leads_to| step2 step2 u002du002d>|leads_to| step3 step3 u002du002d>|uses| tool_msiexec step3 u002du002d>|leads_to| step4 step4 u002du002d>|leads_to| step5 step5 u002du002d>|related_to| step5b step5b u002du002d>|related_to| step5c step5c u002du002d>|leads_to| step6 step6 u002du002d>|modifies| step6b step6b u002du002d>|leads_to| step7 step7 u002du002d>|uses| tool_winpty tool_winpty u002du002d>|downloads| malware_simplehelp malware_simplehelp u002du002d>|leads_to| step8 step8 u002du002d>|uses| step8b step8b u002du002d>|leads_to| step9 step9 u002du002d>|leads_to| step9b step9b u002du002d>|leads_to| step10 step10 u002du002d>|delivers| malware_crazy malware_crazy u002du002d>|related_to| step10b step10b u002du002d>|leads_to| step11 “

공격 흐름

시뮬레이션 실행

전제 조건: Telemetry & Baseline Pre-flight Check가 통과했어야 합니다.

합리적인 이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적 상대 기법 (TTP)의 정확한 실행을 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.

  • 공격 내러티브 및 명령:

    1. 준비: 공격자는 무해한 Windows 바이너리 (calc.exe)를 파일 이름으로 복사합니다. nmep_agtconfig.exe, SimpleHelp 에이전트를 나타내는 감시된 접미사입니다.
    2. 실행: 이름이 변경된 바이너리가 실행되어 Sysmon이 프로세스 생성 이벤트를 기록하며, Image 가 다음으로 끝납니다. nmep_agtconfig.exe.
    3. 실행 후: 공격자는 생성된 프로세스 내에서 PowerShell 단일 명령을 실행하여 명령 실행을 시뮬레이트할 수 있지만(T1059 설명), 이 추가 행동은 규칙 활성화에 필수적이지 않습니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트 – Sigma 규칙 활성화
$src = "$env:SystemRootSystem32calc.exe"
$dst = "$env:Tempnmep_agtconfig.exe"

# calc.exe를 감시된 이름으로 복사
Copy-Item -Path $src -Destination $dst -Force

# 감시된 바이너리 실행
$proc = Start-Process -FilePath $dst -PassThru

# 선택적: 동일한 세션 내에서 무해한 명령을 실행하여 명령줄 원격 측정을 생성
Start-Process -FilePath "powershell.exe" -ArgumentList '-NoProfile -Command "Write-Host Simulated payload."' -NoNewWindow

# 정리용 PID 출력
Write-Output "Spawned PID: $($proc.Id)"

  • 정리 명령:

    # 여전히 실행 중인 경우 감시 프로세스를 종료
Get-Process -Name "nmep_agtconfig" -ErrorAction SilentlyContinue | Stop-Process -Force

# 디스크에서 파일 제거
Remove-Item -Path "$env:Tempnmep_agtconfig.exe" -Force

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입