팔로우 
요약
DHL 행세한 피싱 이메일이 수신자를 PDF 첨부파일로 안내하여 버튼을 클릭하도록 지시했습니다. 해당 버튼은 악성 .scr 파일을 손상된 베트남 물류 웹사이트에서 다운로드하도록 유도했습니다. 파일이 실행되면, 서명된 SimpleHelp 원격 액세스 도구를 설치하여 공격자가 피해자의 장치에 지속적인 원격 액세스를 할 수 있게 했습니다.
조사
보고서는 피싱 이메일이 더 설득력 있게 보이기 위해 합법적인 야후 서비스에 호스팅된 이미지를 사용했고, 믿을만한 소스를 가장하기 위해 스푸핑된 발신자 주소를 사용했다고 설명합니다. 다운로드된 .scr 파일은 UAC 프롬프트를 트리거하기 전에 실행된 수정된 SimpleHelp 원격 관리 설치 프로그램으로 식별되었습니다. 설치 후, 소프트웨어는 공격자 제어 인프라와의 아웃바운드 통신을 시작하여 명령 수신 및 피해 시스템에 대한 제어를 유지했습니다.
완화 방안
조직은 사용자들에게 발신자 주소를 주의 깊게 확인하고 첨부 파일이나 다운로드를 열기 전에 의심스러운 파일 확장자를 꼼꼼히 살피도록 교육해야 합니다. 다중 인증은 가능한 모든 곳에 활성화해야 하며, 최신 웹 필터링 기능을 갖춘 엔드포인트 보호를 배포하여 악성 콘텐츠를 차단해야 합니다. 방어자는 식별된 악성 도메인을 차단하고, 환경 내의 무단 SimpleHelp 활동을 모니터링해야 합니다.
대응
해당 활동이 감지되면, 즉시 영향을 받은 엔드포인트를 격리하고, SimpleHelp 프로세스를 종료하며, 악성 .scr 파일을 호스트에서 제거해야 합니다. 조사관은 이후 포렌식 분석을 수행하여 침입과 관련된 추가적인 산출물이나 후속 활동을 식별해야 합니다. 손상된 시스템에서 사용된 모든 자격 증명은 초기화해야 하며, 이메일 보안 규칙을 강화하여 유사한 피싱 유혹에 대한 노출을 줄여야 합니다.
"graph TB %% Class definitions classDef action fill:#99ccff classDef technique fill:#ffcc99 classDef file fill:#ccffcc classDef malware fill:#ff9999 classDef protocol fill:#ccccff %% Nodes action_phishing["<b>Action</b> – Phishing Campaign"] class action_phishing action tech_T1566_001["<b>Technique</b> – T1566.001 Phishing: Spearphishing Attachment<br/><b>Description</b>: Targeted phishing emails that contain malicious attachments."] class tech_T1566_001 technique file_pdf["<b>File</b> – Malicious PDF attachment (impersonating DHL)"] class file_pdf file action_user_exec["<b>Action</b> – User Execution of Malicious File"] class action_user_exec action tech_T1204_002["<b>Technique</b> – T1204.002 User Execution: Malicious File<br/><b>Description</b>: User is tricked into opening or executing a malicious file."] class tech_T1204_002 technique file_scr["<b>File</b> – AWB-Doc0921.scr downloaded and run"] class file_scr file tech_T1553_002["<b>Technique</b> – T1553.002 Subvert Trust Controls: Code Signing<br/><b>Description</b>: Adversaries use stolen or forged code signing certificates to sign malicious files."] class tech_T1553_002 technique tech_T1036_008["<b>Technique</b> – T1036.008 Masquerading: Masquerade File Type<br/><b>Description</b>: Files are renamed or presented as a different type to bypass defenses."] class tech_T1036_008 technique malware_simplehelp["<b>Malware</b> – SimpleHelp Remote Access Tool"] class malware_simplehelp malware tech_T1219["<b>Technique</b> – T1219 Remote Access Tools<br/><b>Description</b>: Use of remoteu2011access tools to control compromised hosts."] class tech_T1219 technique tech_T1071_001["<b>Technique</b> – T1071.001 Application Layer Protocol: Web Protocols<br/><b>Description</b>: Use of HTTP/HTTPS for commandu2011andu2011control communications."] class tech_T1071_001 protocol tech_T1133["<b>Technique</b> – T1133 External Remote Services<br/><b>Description</b>: Use of legitimate remote services to access compromised systems."] class tech_T1133 technique %% Connections action_phishing –>|uses| tech_T1566_001 tech_T1566_001 –>|delivers| file_pdf file_pdf –>|triggers| action_user_exec action_user_exec –>|uses| tech_T1204_002 tech_T1206_002 –>|executes| file_scr file_scr –>|signed_with| tech_T1553_002 tech_T1553_002 –>|enables| tech_T1036_008 tech_T1036_008 –>|leads_to| malware_simplehelp malware_simplehelp –>|uses| tech_T1219 malware_simplehelp –>|communicates_via| tech_T1071_001 malware_simplehelp –>|accessed_via| tech_T1133 "