팔로우 
요약
Proofpoint는 2026년 2월 이란 타격 이후 이란, 중국, 파키스탄, 벨라루스 및 기타 국가와 연계된 위협 행위자와 관련된 간첩 및 피싱 활동의 증가를 보고했습니다. 적들은 갈등을 주제로 한 미끼를 사용하여 중동과 미국 전역의 정부 부처, 외교 단체 및 싱크탱크를 대상으로 했습니다. 이러한 운영은 자격 증명 피싱, 악성 LNK 파일, DLL 사이드로딩 및 손상된 이메일 계정과 클라우드 호스팅 인프라를 통해 전달된 Cobalt Strike 페이로드에 의존했습니다. 탐지 노력은 악의적인 Office 바로가기, 가짜 OneDrive 스타일 로그인 페이지 및 알려진 악성코드 로더의 의심스러운 사용을 우선시해야 합니다.
조사
Proofpoint는 UNK_InnerAmbush, TA402, UNK_RobotDreams, UNK_NightOwl, TA473, 및 TA453라는 여섯 개의 별개의 캠페인을 추적했는데, 이는 이메일 침해, 무기화된 아카이브 및 악성 링크를 통해 결국 Cobalt Strike를 시작하는 로더를 전달했습니다. 연구진은 이메일 주소, 도메인, URL, 파일 이름, 파일 해시 등 지표를 카탈로그했습니다. 가능하다면, 보고서는 관찰된 인프라를 이미 문서화된 공개 보고서에 매핑했습니다.
완화
조직은 이메일 및 클라우드 플랫폼에 MFA를 요구하고, 알려진 악성 도메인 및 URL을 차단하며, LNK 실행 및 예기치 않은 DLL 로딩 활동을 모니터링해야 합니다. 이메일 보안 통제는 LNK 및 아카이브 기반 전달에 대한 첨부 파일을 검사해야 하며, 위협 사냥 활동은 Cobalt Strike 비콘 행동 및 비정상적인 PowerShell 실행에 중점을 두어야 합니다.
대응
의심스러운 LNK, 악성 아카이브 또는 Cobalt Strike 비콘이 식별되면 호스트를 격리하고, 휘발성 증거를 수집하며 즉각적인 사고 대응을 시작해야 합니다. 관련 명령 및 제어 도메인 및 IP 주소를 차단하고, 손상된 계정을 재설정하며, 지속성 메커니즘을 식별하기 위해 전체 포렌식 조사를 수행해야 합니다.
graph TB %% Class Definitions Section classDef action fill:#99ccff classDef artifact fill:#ffcc99 classDef process fill:#ffeb99 classDef malware fill:#ff9999 classDef service fill:#ccffcc classDef credential fill:#dddddd %% Nodes – Actions (Techniques) action_phishing_spear[“<b>Action</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Send emails with malicious ZIP or LNK attachments that execute code when opened.<br/><b>Confidence</b>: High”] class action_phishing_spear action action_execution_ps[“<b>Action</b> – <b>T1059.001 PowerShell</b><br/><b>Description</b>: Use PowerShell to download and execute additional payloads.<br/><b>Confidence</b>: High”] class action_execution_ps action action_defense_proxy[“<b>Action</b> – <b>T1218 System Binary Proxy Execution</b><br/><b>Description</b>: Load malicious DLL via signed binary (nvdaHelperRemoteLoader.exe).<br/><b>Confidence</b>: High”] class action_defense_proxy action action_c2_web[“<b>Action</b> – <b>T1102.002 Web Service: Bidirectional Communication</b><br/><b>Description</b>: Communicate with C2 hosts using web services such as Azure Front Door and OneDrive.<br/><b>Confidence</b>: High”] class action_c2_web action action_persistence_account[“<b>Action</b> – <b>T1098 Account Manipulation</b> & <b>T1078 Valid Accounts</b><br/><b>Description</b>: Use compromised email accounts to maintain foothold and send further phishing.<br/><b>Confidence</b>: High”] class action_persistence_account action action_phishing_additional[“<b>Action</b> – <b>T1566 Phishing (Additional)</b><br/><b>Description</b>: Host fake OWA/OneDrive credential pages to harvest credentials.<br/><b>Confidence</b>: High”] class action_phishing_additional action %% Nodes – Artifacts artifact_zip[“<b>Artifact</b> – Malicious ZIP attachment<br/><b>Content</b>: LNK and PDF files with embedded payloads”] class artifact_zip artifact artifact_lnk[“<b>Artifact</b> – LNK file (nvdaHelperRemoteLoader.exe)”] class artifact_lnk artifact artifact_ps_script[“<b>Artifact</b> – PowerShell script used for download”] class artifact_ps_script artifact artifact_dll[“<b>Artifact</b> – Malicious DLL (nvdaHelperRemote.dll)”] class artifact_dll malware %% Nodes – Processes / Tools process_loader[“<b>Process</b> – nvdaHelperRemoteLoader.exe (signed binary)”] class process_loader process process_powershell[“<b>Process</b> – PowerShell.exe executing download script”] class process_powershell process %% Nodes – Command & Control Services service_c2_almer[“<b>Service</b> – support.almersalstore.com (C2 domain)”] class service_c2_almer service service_c2_azure[“<b>Service</b> – Azure Front Door host”] class service_c2_azure service service_c2_onedrive[“<b>Service</b> – OneDrive file link (C2)”] class service_c2_onedrive service %% Nodes – Credentials / Accounts credential_email[“<b>Credential</b> – Compromised government email account”] class credential_email credential %% Connections – Attack Flow action_phishing_spear –>|delivers| artifact_zip artifact_zip –>|contains| artifact_lnk artifact_lnk –>|executes| process_loader process_loader –>|uses| action_defense_proxy action_defense_proxy –>|loads| artifact_dll artifact_dll –>|enables| action_execution_ps action_execution_ps –>|runs| process_powershell process_powershell –>|downloads payload via| artifact_ps_script process_powershell –>|communicates with| service_c2_almer process_powershell –>|communicates with| service_c2_azure process_powershell –>|communicates with| service_c2_onedrive service_c2_almer –>|supports| action_persistence_account service_c2_azure –>|supports| action_persistence_account service_c2_onedrive –>|supports| action_persistence_account action_persistence_account –>|uses| credential_email credential_email –>|sends| action_phishing_additional action_phishing_additional –>|hosts| artifact_zip
공격 흐름
탐지
자동 시작 위치의 의심스러운 바이너리/스크립트 (파일 이벤트 기준)
보기
공용 사용자 프로필에서 의심스러운 파일 (파일 이벤트 기준)
보기
타사 서비스/도구를 통한 잠재적인 데이터 침입/유출/C2 (DNS 기준)
보기
아카이브에서 추출된 의심스러운 파일 (파일 이벤트 기준)
보기
잠재적인 nvdaHelperRemote DLL 사이드 로딩 시도 (이미지 로드 기준)
보기
의심스러운 CURL 사용 (cmdline 기준)
보기
타사 서비스/도구를 통한 잠재적인 데이터 침입/유출/C2 (프록시 기준)
보기
부정확한 프로세스에서 Google Docs 도메인이 해결됨 (DNS 쿼리 기준)
보기
가상 하드 디스크 파일이 생성됨 (파일 이벤트 기준)
보기
탐지 Indicators of Compromise (HashSha256): 이란 갈등으로 인한 중동 타겟에 대한 다양한 스파이 활동 증가
보기
탐지 Indicators of Compromise (SourceIP): 이란 갈등으로 인한 중동 타겟에 대한 다양한 스파이 활동 증가
보기
탐지 Indicators of Compromise (DestinationIP): 이란 갈등으로 인한 중동 타겟에 대한 다양한 스파이 활동 증가
보기
nvdaHelperRemoteLoader.exe 및 VLCMediaPlayer.exe의 의심스러운 실행 탐지 [Windows 프로세스 생성]
보기
UNK_InnerAmbush 및 UNK_RobotDreams 캠페인 관련 C&C 도메인 탐지 [Windows 네트워크 연결]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기준선 사전 비행 점검이 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 적의 기술(전술, 기법 및 절차)을 정확하게 실행하는 방법을 상세히 설명합니다. 명령과 내러티브는 명확하게 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령:
적은 손상된 사본을 확보했습니다.nvdaHelperRemoteLoader.exe악성 DLL이 포함된 (evil.dll) 에 포함합니다. 그들은 이진 파일을C:Temp에 배치하고 Scheduled Task(T1546.009)를 통해 실행을 트리거하는 바로가기를 만듭니다. 동시에, 그들은 서명된 이진 파일을 악용합니다.VLCMediaPlayer.exe(T1218)는 호스트 지문 인식을 수행하는 PowerShell 페이로드를 실행합니다. 두 이진 파일은 프로세스 생성 이벤트에 의해 규칙에 필요한 정확한 실행 파일 이름이 포함되도록 직접 실행됩니다. -
회귀 테스트 스크립트:
# ------------------------------------------------- # 시뮬레이션 스크립트 – 두 탐지를 모두 트리거합니다 # ------------------------------------------------- # 실행 폴더 설정 $binPath = "C:Temp" # 1. 악성 nvdaHelperRemoteLoader.exe 배포 (플레이스홀더 사본) $nvdaSrc = "C:ToolsMocksnvdaHelperRemoteLoader.exe" # <-- 실제 샘플로 교체해야 함 Copy-Item -Path $nvdaSrc -Destination "$binPathnvdaHelperRemoteLoader.exe" -Force # 2. 악성 VLCMediaPlayer.exe 배포 (플레이스홀더 사본) $vlcSrc = "C:ToolsMocksVLCMediaPlayer.exe" # <-- 실제 샘플로 교체해야 함 Copy-Item -Path $vlcSrc -Destination "$binPathVLCMediaPlayer.exe" -Force # 3. nvdaHelperRemoteLoader.exe 실행 (DLL 사이드로딩 시뮬레이션) Write-Host "Launching nvdaHelperRemoteLoader.exe ..." Start-Process -FilePath "$binPathnvdaHelperRemoteLoader.exe" -WindowStyle Hidden # 4. VLCMediaPlayer.exe 실행 하여 PowerShell 원라이너로 지문 인식 진행 $psCmd = "Get-WmiObject Win32_OperatingSystem | Select-Object Caption,Version" Write-Host "Launching VLCMediaPlayer.exe with PowerShell payload ..." Start-Process -FilePath "$binPathVLCMediaPlayer.exe" ` -ArgumentList "-I dummy --dummy-arg `"powershell -Command `$psCmd`" `" ` -WindowStyle Hidden Write-Host "Simulation complete. Verify alerts in your SIEM." -
정리 명령:
# 남아 있는 테스트 프로세스 중지 Get-Process -Name "nvdaHelperRemoteLoader","VLCMediaPlayer" -ErrorAction SilentlyContinue | Stop-Process -Force # 테스트 바이너리 제거 Remove-Item -Path "C:TempnvdaHelperRemoteLoader.exe","C:TempVLCMediaPlayer.exe" -Force -ErrorAction SilentlyContinue Write-Host "Cleanup finished."