협력자를 찾아라: SmokedHam, Qilin, 몇 개의 구글 광고와 일부 감독 소프트웨어

SOC Prime Team

팔로우

협력자를 찾아라: SmokedHam, Qilin, 몇 개의 구글 광고와 일부 감독 소프트웨어

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

Orange Cyberdefense는 2026년 초에 랜섬웨어 제휴업체가 합법적인 유틸리티 소프트웨어로 위장한 악성 광고를 통해 SmokedHam 백도어를 배포했다고 보고했습니다. 최소 한 건의 확인된 침입에서 이 백도어는 나중에 Qilin 랜섬웨어를 전달하는 데 사용되었습니다. 연구원들은 중간 정도의 신뢰도로 이 활동을 러시아어 사용 제휴업체 UNC2465에, 이전에는 DarkSide, LockBit 및 Hunters International의 작업과 관련이 있었던 위협 행위자와 연결했습니다.

조사

조사 결과는 2025년과 2026년에 수집된 30개 이상의 SmokedHam 샘플을 검토하여 정상적인 관리 작업에 악성 활동을 숨기기 위해 Cloudflare Workers를 사용한 도메인 프론팅과 AWS 호스팅된 인프라에 의존한 말버타이징 도메인을 식별했습니다. 분석가들은 또한 PuTTY 및 Total Commander와 같은 합법적인 도구의 남용을 문서화했습니다. 보고서는 또한 UNC2465와 이전에 연결된 활동과의 전술적 중복을 강조했습니다.

완화

방어자들은 알려진 말버타이징 도메인을 차단하고 RVTools와 Remote Desktop Manager와 같은 도구에 대한 애플리케이션 허용 목록을 강제하며, 합법적인 관리 유틸리티의 비정상적인 사용을 모니터링해야 합니다. SmokedHam 백도어 행동 및 관련 침입 후 활동을 식별하기 위해 엔드포인트 탐지 범위를 강화해야 합니다. 클라우드 기반 위협 인텔리전스 피드의 사용은 탐지 및 풍부화 노력을 더욱 향상시킬 수 있습니다.

대응

의심스러운 활동이 식별되면 감염된 호스트를 즉시 격리하고, 포렌식 아티팩트를 수집하고, SmokedHam 및 Qilin과 관련된 지표를 검색해야 합니다. 조사관은 인증 정보 도난 또는 랜섬웨어 암호화가 이미 발생했는지 확인해야 합니다. 관련 인프라 전반에 대한 더 광범위한 위협 사냥이 권장되며, 확립된 랜섬웨어 사고 대응 절차를 활성화해야 합니다.

graph TB classDef action fill:#99ccff classDef malware fill:#ff6666 classDef tool fill:#cccccc classDef service fill:#ffd966 classDef impact fill:#ff9999 action_initial[“액션 – T1659 콘텐츠 인젝션 (멀버타이징) RVTools/Remote Desktop Manager로 위장된 악성 설치 프로그램”] class action_initial action action_user_exec[“액션 – T1204 사용자 실행 피해자가 위장된 설치 프로그램을 실행”] class action_user_exec action malware_smokedham[“멀웨어 – T1127 신뢰된 개발자 유틸리티 프록시 실행 백도어 SmokedHam 설치”] class malware_smokedham malware action_embedded_payload[“액션 – T1027.009 임베디드 페이로드 SmokedHam 페이로드가 정상 유틸리티 내부에 난독화됨”] class action_embedded_payload action action_polymorphic[“액션 – T1027.014 폴리모픽 코드 변종은 패킹 및 코드 변형 사용”] class action_polymorphic action action_rat[“액션 – T1219 원격 접근 도구 SmokedHam이 정상 도구를 사용해 C2 구축”] class action_rat action tool_putty[“도구 – PuTTY C2에 사용되는 SSH 클라이언트”] class tool_putty tool tool_kitty[“도구 – KiTTY SSH 클라이언트 변종”] class tool_kitty tool tool_zoho[“도구 – Zoho Assist C2에 사용되는 원격 지원 도구”] class tool_zoho tool action_c2_comm[“액션 – T1102.001/002/003 통신 Cloudflare Workers 및 AWS를 통한 C2”] class action_c2_comm action service_cloudflare[“서비스 – Cloudflare Workers”] class service_cloudflare service service_aws[“서비스 – AWS”] class service_aws service action_tunnel[“액션 – T1572 프로토콜 터널링 정상 서비스로 트래픽 터널링”] class action_tunnel action action_ssh_hijack[“액션 – T1563.001 원격 서비스 세션 하이재킹 (SSH) 탈취된 자격 증명으로 하이재킹”] class action_ssh_hijack action action_rdp_hijack[“액션 – T1563.002 원격 서비스 세션 하이재킹 (RDP) RDP 세션 하이재킹”] class action_rdp_hijack action action_exploit_remote[“액션 – T1210 원격 서비스 악용 내부 호스트로 측면 이동”] class action_exploit_remote action action_input_capture[“액션 – T1056.003 입력 캡처 웹 포털 자격 증명 캡처”] class action_input_capture action action_account_manip[“액션 – T1098.004 계정 조작 지속성을 위해 SSH 인증 키 추가”] class action_account_manip action malware_qilin[“멀웨어 – Qilin 랜섬웨어 피해자 데이터 암호화”] class malware_qilin impact action_initial –>|leads_to| action_user_exec action_user_exec –>|leads_to| malware_smokedham malware_smokedham –>|leads_to| action_embedded_payload action_embedded_payload –>|leads_to| action_polymorphic action_polymorphic –>|leads_to| action_rat action_rat –>|uses| tool_putty action_rat –>|uses| tool_kitty action_rat –>|uses| tool_zoho action_rat –>|communicates via| action_c2_comm action_c2_comm –>|uses| service_cloudflare action_c2_comm –>|uses| service_aws action_c2_comm –>|enables| action_tunnel action_tunnel –>|enables| action_ssh_hijack action_ssh_hijack –>|enables| action_rdp_hijack action_rdp_hijack –>|enables| action_exploit_remote action_exploit_remote –>|enables| action_input_capture action_input_capture –>|enables| action_account_manip action_account_manip –>|enables| malware_qilin

공격 흐름

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입