팔로우 
요약
Microsoft 지원을 사칭하는 타이포스쿼팅 웹사이트가 가짜 Windows 업데이트 MSI를 배포하고 있습니다. 설치되면 MSI는 VBS 스타터를 트리거하는 전자 기반 앱을 배포하여 이름이 변경된 Python 인터프리터를 실행하고 자격 증명 도난 모듈을 로드합니다. 도난당한 데이터는 Render, Cloudflare Workers, GoFile을 통해 전송되며, 실행 지속성은 실행 레지스트리 값과 시작 프로그램 바로가기를 통해 설정됩니다. 이 활동은 프랑스어 사용자에게 맞춤 설정되어 있습니다.
조사
연구원들이 WindowsUpdate 1.0.0.msi를 입수하여 Electron 래퍼(WindowsUpdate.exe)와 VBS 실행기(AppLauncher.vbs)를 떨어뜨리는 것을 확인했습니다. Electron 프로세스는 숨겨진 Python 런타임(_winhost.exe)을 생성하여 브라우저 자격 증명, Discord 토큰 및 결제 데이터를 수집하는 일반 정보 도난 라이브러리를 가져옵니다. 네트워크 원격 측정은 초기 호스트 프로파일링을 보여줍니다. www.myexternalip.com 및 ip-api.com에 이어 datawebsync-lvmv.onrender.com 및 sync-service.system-telemetry.workers.dev로 C2 트래픽이 이루어지며, store8.gofile.io에 유출이 관찰됩니다. HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun에 SecurityHealth 값을 생성하고 사용자 시작 폴더에 Spotify.lnk를 배치하여 지속성이 확립됩니다.
완화
SecurityHealth 실행 값을 제거하고 사용자의 시작 폴더에서 Spotify.lnk를 삭제하세요. AppDataLocalPrograms 아래의 WindowsUpdate 디렉토리를 삭제하고 임시 WinGettools 폴더를 제거하세요. 저장된 비밀번호를 재설정하고 MFA/2FA를 활성화한 후 최신 안티멀웨어 보호를 사용하여 전체 스캔을 수행하세요.
대응
의심스러운 MSI, VBS 실행 또는 실행 키 생성에 대한 경고가 트리거되면 호스트를 격리하고 변동 데이터를 캡처하며 관련 AppData 경로의 포렌식 조사를 수행하세요. 식별된 C2 도메인을 차단하고 나열된 정찰 서비스로의 트래픽을 추적하세요. 지속성 아티팩트를 제거하고 반복 실행을 방지하기 위해 안전한 업데이트 워크플로우를 강화하세요.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[“사용자 클릭 – 피싱 링크 실행”] class action_user_click action process_msiexec[“msiexec 실행”] class process_msiexec process process_vbs[“VBScript 실행”] class process_vbs process process_electron[“Electron 위장 프로세스”] class process_electron process process_python[“위장 Python 프로세스”] class process_python process persistence_registry[“레지스트리 Run 키”] class persistence_registry persistence persistence_shortcut[“바로가기 자동 실행”] class persistence_shortcut persistence collection_ip[“IP 정보 수집”] class collection_ip collection credential_browser[“브라우저 비밀번호 탈취”] class credential_browser credential credential_discord[“Discord 토큰 탈취”] class credential_discord credential defense_terminate[“보안 프로세스 종료”] class defense_terminate defense defense_obfuscation[“난독화된 JavaScript”] class defense_obfuscation defense c2_communicate[“C2 HTTP 통신”] class c2_communicate c2 exfil_cloud[“클라우드 데이터 유출”] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud
공격 흐름
탐지
프록시를 통한 서드파티 서비스/도구를 통한 데이터 침입/유출/C2 가능성
보기
DNS를 통한 IP 조회 도메인 통신 시도 가능성
보기
DNS를 통한 서드파티 서비스/도구를 통한 데이터 침입/유출/C2 가능성
보기
자동 시작 위치의 의심스러운 바이너리/스크립트 (파일 이벤트 통해)
보기
LOLBAS WScript / CScript (프로세스 생성 통해)
보기
지속성 포인트 가능성 [ASEPs – Software/NTUSER Hive] (레지스트리 이벤트 통해)
보기
탐지용 IOCs (HashSha256): 이 가짜 Windows 지원 웹사이트는 비밀번호 도난 맬웨어를 전달합니다
보기
비밀번호 도난 맬웨어와 관련된 의심스러운 네트워크 연결 [Windows 네트워크 연결]
보기
비밀번호 도난 맬웨어를 전달하는 가짜 Windows 지원 사이트 [Windows 프로세스 생성]
보기
가짜 Windows 보안 건강 항목을 통한 레지스트리 지속성 [Windows 레지스트리 이벤트]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 비행 검사가 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 유발하도록 설계된 적수 기술(TTP)의 정확한 실행을 상세히 기술합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리가 기대하는 정확한 원격 측정을 생성해야 합니다.
-
공격 내러티브 및 명령:
적수가 사용자의 워크스테이션에 발판을 마련하고 재부팅 시 지속성을 유지하면서 겉보기 검사를 회피하려고 합니다. 그들은 악성 페이로드를 다음과 같이 이름하여 드롭합니다 WindowsUpdate.exe 사용자의 AppData 폴더에 저장한 다음 다음과 같은 이름의 실행 키를 만듭니다. SecurityHealth 이 페이로드를 가리키며, 합법적인 “Windows 보안 건강” 서비스를 모방합니다. 이 키 경로를 정확히 감시하면, 이 활동은 플래그를 생성해야 합니다.powershell # 1. 악성 페이로드를 드롭합니다 (테스트용으로 무해한 텍스트 파일로 시뮬레이션) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "이것은 테스트를 위한 더미 악성 실행 파일입니다." -Encoding ASCII # 2. SecurityHealth로 위장한 악성 실행 키를 생성합니다 $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
회귀 테스트 스크립트:
powershell # ------------------------------------------------- # 회귀 테스트 – 레지스트리 지속성 위장 # ------------------------------------------------- # 목적: Sigma 규칙이 기대하는 정확한 원격 측정 재현 # Windows 10/11에서 관리자 권한으로 작동 # 페이로드 위치 정의 $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # 디렉토리가 존재하는지 확인 if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # 더미 실행 파일 생성 (실제 테스트에서는 악성 바이너리 사용) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # 위장된 이름으로 실행 키 등록 $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "악성 실행 키가 생성되었습니다. 잠시 후 탐지 경고를 예상하십시오." # ------------------------------------------------- -
정리 명령:
powershell # 악성 실행 키 제거 Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # 더미 페이로드 파일 및 해당 폴더 삭제 $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "정리가 완료되었습니다."