팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
피싱 캠페인은 JWrapper로 포장된 실행 파일을 배포하기 위해 멕시코 웹 사이트를 이용하고 있으며, 이 실행 파일은 정품 원격 관리 도구인 SimpleHelp와 ScreenConnect를 설치합니다. 두 바이너리는 서명되어 일반적으로 신뢰할 수 있지만, 공격자는 이를 남몰래 지속적으로 원격 접근을 허용하기 위해 윈도우 서비스와 안전 모드 레지스트리 수정으로 악용합니다. 2025년 4월 이후로 이 활동은 미국, 서유럽 및 라틴 아메리카의 80개 이상의 조직에 영향을 미쳤습니다. 비록 책임소재는 명확하지 않지만, 이 캠페인은 금전적 동기가 있는 것으로 보입니다.
조사
Securonix는 전송된 페이로드에 대한 동적 분석을 수행하여 SimpleHelp 5.0.1과 ConnectWise ScreenConnect를 중심으로 한 이중 채널 원격 접근 설정을 발견했습니다. 매일웨어는 윈도우 서비스로 설치되고, 안전 모드로 부팅해도 지속성을 유지하기 위해 SafeBoot 레지스트리 항목을 만듭니다. 설치된 보안 제품을 식별하고 사용자가 머신에 있는지를 확인하기 위해 반복되는 폴링 루프를 사용합니다. 조사관들은 또한 이름이 변경된 wmic.exe.bak 바이너리가 이름 기반 탐지를 우회하는 데 사용되었습니다.
대응 방안
보안팀은 원격 접근 서비스 윈도우 서비스의 생성, 관련된 SafeBoot 레지스트리 항목 및 wmic.exe.bak 의 출현을 모니터링해야 합니다 System32wbem 디렉토리 내에서. 네트워크 방어는 84.200.205.233:5555 로의 아웃바운드 UDP 트래픽과 sslzeromail.run.place:8041로의 TCP 트래픽을 차단해야 합니다. 방어자는 또한 악성 서비스를 제거하고 이름이 변경된 유틸리티 및 침입과 연관된 기타 아티팩트를 사냥하면서 관련 파일을 삭제해야 합니다.
대응
이 활동이 탐지되면 즉시 영향을 받은 시스템을 격리하고, 악성 서비스를 중지하고 제거하며, SafeBoot 레지스트리 항목을 삭제하고, 호스트에서 JWrapper 설치 디렉토리를 삭제해야 합니다. 그 후 조사관들은 포렌식 분석을 수행하여 측면 이동 발생 여부를 결정하고 탐지 논리를 업데이트하여 캠페인에서 관찰된 특정 프로세스 체인과 명령 패턴을 포착해야 합니다. 관련 이해당사자에게 통보하고 추가 피해자를 식별하기 위한 광범위한 위협 사냥을 고려해야 합니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#a2d5ab classDef process fill:#ffcc99 classDef service fill:#ffb3b3 classDef c2 fill:#d9b3ff %% 노드 action_impersonation[“<b>행위</b> – <b>T1656 사칭</b><br/>피해자를 유인하기 위한 미국 SSA 이메일 스푸핑”] class action_impersonation action action_phishing[“<b>행위</b> – <b>T1566.001 피싱</b><br/>손상된 멕시코 도메인 링크가 포함된 스피어피싱 첨부파일”] class action_phishing action action_infra[“<b>행위</b> – <b>T1584.001 인프라 손상</b><br/>랜딩 페이지와 페이로드 호스팅을 위해 합법적인 .com.mx 사이트를 손상”] class action_infra action action_execution[“<b>행위</b> – 실행<br/>피해자가 JWrapper로 패키징된 statement5648.exe를 실행하여 설정을 추출하고, 개인 JRE를 드롭한 후 Java 페이로드를 시작”] class action_execution action action_uac[“<b>행위</b> – <b>T1548.002 UAC 우회</b><br/>UAC 프롬프트에 신뢰된 SimpleHelp 게시자가 표시되어 설치를 허용”] class action_uac action action_service[“<b>행위</b> – <b>T1543.003 시스템 프로세스 생성 또는 수정</b><br/>Windows 서비스 \”Remote Access Service\” 등록”] class action_service action action_safemode[“<b>행위</b> – <b>T1562.009 안전 모드 부팅</b><br/>서비스 지속성을 위해 SafeBoot Network 아래에 레지스트리 키 추가”] class action_safemode action malware_simplehelp[“<b>멀웨어</b> – SimpleHelp 5.0.1 (크랙 버전)<br/>SimpleHelp에 의해 서명된 원격 관리 도구”] class malware_simplehelp malware malware_screenconnect[“<b>멀웨어</b> – ConnectWise ScreenConnect (크랙 버전)<br/>ConnectWise에 의해 서명된 원격 관리 도구”] class malware_screenconnect malware c2_simplehelp[“<b>C2</b> – UDP 84.200.205.233:5555<br/>SimpleHelp의 비콘 통신에 사용”] class c2_simplehelp c2 c2_screenconnect[“<b>C2</b> – TCP sslzeromail.run.place:8041<br/>ScreenConnect 릴레이에 사용”] class c2_screenconnect c2 tool_sessionwin[“<b>도구</b> – session_win.exe<br/>사용자 세션에서 프로세스를 생성하기 위해 winlogon.exe 토큰 탈취”] class tool_sessionwin tool tool_elevwin[“<b>도구</b> – elev_win.exe<br/>탈취한 토큰을 사용하여 CreateProcessAsUserW로 프로세스 생성”] class tool_elevwin tool process_netsh[“<b>프로세스</b> – netsh wlan show interfaces<br/>네트워크 구성을 탐지하기 위해 약 15초마다 실행”] class process_netsh process process_wmic[“<b>프로세스</b> – wmic.exe.bak query SecurityCenter2<br/>AV/방화벽 제품을 탐지하기 위해 약 67초마다 실행”] class process_wmic process action_masquerade[“<b>행위</b> – <b>T1036.003 가장</b><br/>유틸리티를 숨기기 위해 wmic.exe를 wmic.exe.bak로 이름 변경”] class action_masquerade action action_dynamic[“<b>행위</b> – <b>T1568 동적 확인</b><br/>C2 엔드포인트를 조정하기 위해 인터페이스 정보 수집”] class action_dynamic action %% 흐름 연결 action_impersonation –>|이어짐| action_phishing action_phishing –>|사용| action_infra action_infra –>|호스팅| action_execution action_execution –>|트리거| action_uac action_uac –>|활성화| action_service action_service –>|추가| action_safemode action_safemode –>|지원| malware_simplehelp malware_simplehelp –>|통신| c2_simplehelp malware_screenconnect –>|통신| c2_screenconnect malware_simplehelp –>|설치| tool_sessionwin malware_screenconnect –>|설치| tool_elevwin tool_sessionwin –>|수행| action_masquerade tool_elevwin –>|실행| process_netsh process_netsh –>|전달| action_dynamic process_wmic –>|전달| action_dynamic action_dynamic –>|정보 제공| c2_screenconnect action_dynamic –>|정보 제공| c2_simplehelp tool_sessionwin –>|수행| action_masquerade process_wmic –>|수행| action_masquerade %% 클래스 할당 class action_impersonation,action_phishing,action_infra,action_execution,action_uac,action_service,action_safemode,action_masquerade,action_dynamic action class malware_simplehelp,malware_screenconnect malware class c2_simplehelp,c2_screenconnect c2 class tool_sessionwin,tool_elevwin tool class process_netsh,process_wmic process
공격 흐름
탐지
SimpleHelp 에이전트가 JWrapper 원격 액세스 디렉터리에서 실행됨 (프로세스 생성 경유)
보기
가능한 안티바이러스 또는 방화벽 소프트웨어 열거 (프로세스 생성 경유)
보기
대체 원격 접근 / 관리 소프트웨어 (프로세스 생성 경유)
보기
Simple Help RMM 사용 시도 가능성 (파일 이벤트 경유)
보기
IOCs (HashSha512) 탐지: VENOMOUS#HELPER: JWrapper로 포장된 SimpleHelp 및 ScreenConnect를 활용한 이중-RMM 피싱 캠페인
보기
IOCs (HashSha256) 탐지: VENOMOUS#HELPER: JWrapper로 포장된 SimpleHelp 및 ScreenConnect를 활용한 이중-RMM 피싱 캠페인
보기
IOCs (HashMd5) 탐지: VENOMOUS#HELPER: JWrapper로 포장된 SimpleHelp 및 ScreenConnect를 활용한 이중-RMM 피싱 캠페인
보기
IOCs (SourceIP) 탐지: VENOMOUS#HELPER: JWrapper로 포장된 SimpleHelp 및 ScreenConnect를 활용한 이중-RMM 피싱 캠페인
보기
IOCs (DestinationIP) 탐지: VENOMOUS#HELPER: JWrapper로 포장된 SimpleHelp 및 ScreenConnect를 활용한 이중-RMM 피싱 캠페인
보기
wmic.exe가 변경된 이름과 WiFi 인터페이스 명령을 통한 잠재 RAT 활동 모니터링 [Windows Sysmon]
보기
SimpleHelp 및 ScreenConnect를 사용하는 이중-RMM 피싱 캠페인 탐지 [Windows Process Creation]
보기
시뮬레이션 실행
필수조건: Telemetry & Baseline 전처리 검사가 통과해야 합니다.
이유: 이 섹션은 적의 기술 (TTP)이 탐지 규칙을 유발하도록 설계된 정확한 실행을 세부적으로 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영해야 하며, 감지 논리가 예상하는 정확한 원격 측정을 생성하려고 합니다.
-
공격 내러티브 및 명령:
공격자는
statement5648.exe이라는 악성 페이로드를 떨어뜨리는 피싱 첨부 파일 (T1566.001)을 받습니다.%TEMP%디렉토리에 위치합니다. 탐지를 피하기 위해, 파일은 유효한 인증서로 서명되어 있고 (암호화된 코드 – T1027), 지속을 위해 윈도우 서비스 (T1543.003)로 실행됩니다. 실행 파일 이름이 규칙 접미사와 일치하기 때문에, Sysmon은Image로 끝나는 EventID 1을 기록하며, 이는 탐지 규칙을 촉발해야 합니다. 공격자는 또한 안티바이러스를 비활성화하고 (T1562.009), 특권 상승을 위해 UAC 우회를 시도합니다 (T1548.002).statement5648.exe, which should fire the detection rule. The attacker also disables antivirus (T1562.009) and attempts UAC bypass (T1548.002) to gain elevated privileges. -
회귀 테스트 스크립트:
#------------------------------------------------------------ # Dual‑RMM 피싱 캠페인 시뮬레이션 – Sigma 규칙 트리거 #------------------------------------------------------------ $payloadPath = "$env:TEMPstatement5648.exe" $serviceName = "DualRMMHelper" # 1. 더미 실행 파일 (notepad.exe 복사본)을 떨어뜨리고 이름 변경 Write-Host "[*] 위장된 페이로드를 $payloadPath에 떨어뜨립니다" Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $payloadPath -Force # 2. 페이로드를 실행하는 윈도우 서비스를 생성 (지속성) Write-Host "[*] 서비스 $serviceName 설치 중" sc.exe create $serviceName binPath= "`"$payloadPath`"" start= auto > $null # 3. 서비스를 시작합니다 - 이는 Sysmon ProcessCreate 이벤트를 생성합니다 Write-Host "[*] 서비스 $serviceName 시작 중" sc.exe start $serviceName > $null # 4. 선택 사항: UAC 우회 / 토큰 가장 시뮬레이션 (작업 없음 플레이스홀더) # 실제 레드팀 실행에서는 이와 유사한 Invoke-BypassUAC를 포함합니다. Write-Host "[*] 시뮬레이션 완료 – 감지를 위해 SIEM을 확인합니다." #------------------------------------------------------------ -
정리 명령:
#------------------------------------------------------------ # Dual‑RMM 시뮬레이션 정리 #------------------------------------------------------------ $serviceName = "DualRMMHelper" $payloadPath = "$env:TEMPstatement5648.exe" # 서비스 중지 및 삭제 sc.exe stop $serviceName > $null sc.exe delete $serviceName > $null # 잘못된 실행 파일 제거 Remove-Item -Path $payloadPath -Force Write-Host "[*] 정리 완료." #------------------------------------------------------------