SOC Prime Bias: 중요

18 Jun 2026 14:28 UTC
newspaper icon picussecurity.com

SloppyLemming Attack Techniques & BurrowShell Backdoor Explained

Author Photo
SOC Prime Team linkedin icon 팔로우
SloppyLemming Attack Techniques & BurrowShell Backdoor Explained
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

SloppyLemming은 남아시아와 동남아시아의 중요 산업을 대상으로 하는 사이버 스파이 그룹입니다. 이 그룹은 BurrowShell 백도어와 Rust 기반 키로거를 포함한 맞춤형 악성코드를 전달하기 위해 스피어피싱에 의존합니다. 또한 명령 및 제어 활동과 자격 증명 탈취 작업을 지원하기 위해 Cloudflare Workers를 광범위하게 사용합니다.

조사

보고서는 악성 엑셀 매크로와 스푸핑된 인증 포털을 포함하는 다단계 캠페인을 설명합니다. 연구자들은 정부 기관을 모방하기 위해 제작된 Cloudflare 하위 도메인을 식별하고 그룹의 맞춤형 셸코드와 키로깅 기능을 분석했습니다. 또한 SloppyLemming이 동적 API 해상도와 RC4로 암호화된 페이로드를 통해 정적 분석을 피하는 방법도 보여주었습니다.

완화

조직은 악성 첨부 파일과 피싱 링크가 전달되기 전에 차단할 수 있도록 강력한 이메일 필터링을 배포해야 합니다. 보안 팀은 NGenTask.exe를 포함한 승인되지 않은 실행 키 수정 및 의심스러운 부모-자식 프로세스 관계를 모니터링해야 합니다. 예상치 못한 DLL을 로드하는 것. 탐지는 또한 비정상적인 Cloudflare Worker 트래픽 및 승인되지 않은 OAuth 토큰 사용의 모든 징후를 포함해야 합니다. loading unexpected DLLs. Detection should also cover unusual Cloudflare Worker traffic and any signs of unauthorized OAuth token use.

응답

이 활동이 감지되면 명령 및 제어 채널을 통한 추가 데이터 유출을 차단하기 위해 영향을 받은 시스템을 즉시 격리하십시오. BurrowShell 셸코드를 복구하고 침해 정도를 확인하기 위해 메모리 포렌식을 수행하십시오. 키로거 또는 OAuth 가로채기를 통해 노출되었을 가능성이 있는 계정의 자격 증명을 재설정하시고, 특히 Google 계정에 주의를 기울이십시오.

graph TB %% 클래스 정의 classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef execution fill:#3498db,stroke:#333,stroke-width:2px classDef persistence fill:#2ecc71,stroke:#333,stroke-width:2px classDef evasion fill:#e74c3c,stroke:#333,stroke-width:2px classDef credential_access fill:#9b59b6,stroke:#333,stroke-width:2px classDef discovery fill:#f1c40f,stroke:#333,stroke-width:2px classDef collection fill:#1abc9c,stroke:#333,stroke-width:2px classDef command_control fill:#34495e,stroke:#333,stroke-width:2px classDef exfiltration fill:#d35400,stroke:#333,stroke-width:2px %% 초기 접근 노드 ia_spearphish_attach[“<b>행위</b> – <b>T1566.001 Phishing: Spearphishing Attachment</b><br/>VBA 매크로가 포함된<br/>악성 Microsoft Excel 문서.”] class ia_spearphish_attach initial_access ia_spearphish_link[“<b>행위</b> – <b>T1566.002 Phishing: Spearphishing Link</b><br/>가짜 웹메일 포털 또는<br/>흐릿하게 처리된 PDF 유인물 사용.”] class ia_spearphish_link initial_access %% 실행 노드 ex_vba_interpreter[“<b>행위</b> – <b>T1059.005 Command and Scripting Interpreter: Visual Basic</b><br/>매크로가 다운로드를 실행하고<br/>audiodg.exe 및 sppc.dll 같은 악성 파일 실행.”] class ex_vba_interpreter execution %% 지속성 노드 pe_registry_run[“<b>행위</b> – <b>T1547.001 Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder</b><br/>OneDrive로 위장한<br/>레지스트리 자동 실행 항목 생성.”] class pe_registry_run persistence %% 방어 회피 노드 ev_api_hashing[“<b>행위</b> – <b>T1027.007 Obfuscated Files or Information: Dynamic API Resolution</b><br/>BurrowShell 백도어가<br/>해싱을 통해 Windows API 확인.”] class ev_api_hashing evasion ev_rc4_encryption[“<b>행위</b> – <b>T1027.013 Obfuscated Files or Information: Encrypted/Encoded File</b><br/>Shellcode를<br/>RC4 암호화 Blob 형태로 은닉.”] class ev_rc4_encryption evasion ev_masquerading[“<b>행위</b> – <b>T1036.005 Masquerading: Match Legitimate Name or Location</b><br/>파일을 system32.dll 또는<br/>mscorsvc.dll로 위장.”] class ev_masquerading evasion ev_dll_hijack[“<b>행위</b> – <b>T1574.001 Hijack Execution Flow: DLL Search Order Hijacking</b><br/>NGenTask.exe 같은 정상 바이너리를 이용해<br/>DLL 검색 순서 하이재킹 수행.”] class ev_dll_hijack evasion %% 자격 증명 접근 노드 ca_keylogger[“<b>행위</b> – <b>T1056 Input Capture: Keylogging</b><br/>Rust 기반 키로거가<br/>키 입력과 Google OAuth 토큰 수집.”] class ca_keylogger credential_access %% 탐색 노드 di_sys_info[“<b>행위</b> – <b>T1082 System Information Discovery</b><br/>BurrowShell이 시스템 정보를 수집.<br/>컴퓨터 이름과 사용자 이름 포함.”] class di_sys_info discovery %% 수집 노드 co_archive_data[“<b>행위</b> – <b>T1560 Archive Collected Data</b><br/>Python 기반 웹 드라이버가<br/>이메일 첨부 파일 탐색 및 다운로드.”] class co_archive_data collection %% 명령 및 제어 노드 cc_web_protocols[“<b>행위</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/>Cloudflare Workers에서 호스팅되는<br/>C2와 HTTPS 통신.”] class cc_web_protocols command_control %% 유출 노드 ex_c2_channel[“<b>행위</b> – <b>T1041 Exfiltration Over C2 Channel</b><br/>수집된 데이터, 파일,<br/>스크린샷을 공격자에게 전송.”] class ex_c2_channel exfiltration %% 공격 흐름 연결 ia_spearphish_attach –>|이어짐| ex_vba_interpreter ia_spearphish_link –>|이어짐| ex_vba_interpreter ex_vba_interpreter –>|설정| pe_registry_run ex_vba_interpreter –>|사용| ev_api_hashing ex_vba_interpreter –>|사용| ev_rc4_encryption ex_vba_interpreter –>|사용| ev_masquerading ex_vba_interpreter –>|사용| ev_dll_hijack ex_vba_interpreter –>|배포| ca_keylogger ca_keylogger –>|유발| di_sys_info di_sys_info –>|선행| co_archive_data co_archive_data –>|통신| cc_web_protocols cc_web_protocols –>|지원| ex_c2_channel

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 비행 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 확인된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예제는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령: 적은 지속성을 유지하고 코드를 은밀하게 실행하려고 합니다. 그들은 audiodg.exe 프로세스 흐름을 하이재킹 하기 위해 mscorsvc.dll 을(를) 인수로 전달하여 SloppyLemming의 알려진 기술을 사용합니다. 탐지를 더 복잡하게 만들기 위해, 그들은 또한 명령 문자열에서 OneDrive.exe 이라는 이름의 2차 악성 프로세스를 사용하여 그들의 존재를 숨기려 할 수도 있습니다. 목표는 audiodg.exe 및 의심스러운 DLL 또는 가장된 이름의 특정 조합을 일치시켜 탐지 규칙을 트리거하는 것입니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: SloppyLemming TTP 에뮬레이션
# 시나리오 1: audiodg.exe를 mscorsvc.dll로 하이재킹
Write-Host "[+] audiodg.exe와 mscorsvc.dll 하이재킹 시뮬레이션 중..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden

# 시나리오 2: 명령줄에서 OneDrive.exe로 가장
Write-Host "[+] audiodg.exe 실행과 OneDrive.exe로 가장하는 중..."
Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden

  • 정리 명령:

    # 정리: cmd /c 명령어로 생성되는 영구적 아티팩트는 없지만,
# 남아 있는 의심스러운 프로세스를 방지하기 위해 종료합니다.
Stop-Process -Name "cmd" -ErrorAction SilentlyContinue

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입