팔로우 
요약
ErrTraffic은 멀웨어-어즈-서비스 모델로 제공되는 악성 JavaScript 프레임워크입니다. 주로 손상된 워드프레스 웹사이트에 주입되어 ClickFix 스타일의 사회공학 페이지와 추가 멀웨어 페이로드를 전달합니다. 이 프레임워크는 또한 EtherHiding 기술을 사용하여 블록체인 스마트 계약을 통해 명령 및 제어 인프라를 발견합니다.
조사
Sekoia TDR 연구원들은 ‘애널리틱스’ 클러스터와 ‘비어’ 클러스터라고 지칭되는 두 개의 별도 활동 클러스터를 식별했습니다. 그들의 조사는 워드프레스 PHP 백도어, 초동 접근을 위한 자격 증명 대입 공격, AI 플랫폼을 가장한 멀웨어 광고 캠페인을 포함한 여러 배포 경로를 밝혔습니다. 포렌식 분석 또한 두 클러스터 간의 코딩 스타일, 명령 사용, 인프라 패턴에서 명확한 차이를 보여주었습니다.
완화
조직은 강력한 자격 증명 위생과 다중 인증을 시행하여 워드프레스 관리자 손상의 위험을 낮춰야 합니다. 특히 CVE-2020-25213과 같은 알려진 결함에 대한 워드프레스 플러그인의 정기적인 패치가 필수적입니다. 방어자는 의심스러운 PowerShell 동작과 블록체인 RPC 서비스 또는 일반적이지 않은 최상위 도메인으로의 비정상적인 출력 트래픽을 모니터링해야 합니다.
응답
ErrTraffic 지표가 감지되면, 영향을 받는 웹 서버는 즉시 격리되고 모든 워드프레스 계정은 무단 관리자 접근에 대해 검토되어야 합니다. 숨겨진 MU-플러그인 및 무단 PHP 파일을 식별하기 위해 전체 포렌식 조사가 실행되어야 합니다. 노출 가능성이 있는 자격 증명은 취소하고 모든 API 키와 관리자 비밀은 갱신되어야 합니다.
graph TB %% 클래스 정의 classDef reconnaissance fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#ff9,stroke:#333,stroke-width:2px classDef persistence fill:#9f9,stroke:#333,stroke-width:2px classDef command_control fill:#9cf,stroke:#333,stroke-width:2px classDef delivery fill:#f96,stroke:#333,stroke-width:2px %% 정찰 및 초기 접근 단계 recon_cred[“<b>기술</b> – <b>T1589.001 피해자 신원 정보 수집: 자격 증명</b><br/>설명: 탈취한 관리자 자격 증명을 사용하여<br/>WordPress 사이트에 접근.”] class recon_cred reconnaissance recon_drive_by[“<b>기술</b> – <b>T1189 드라이브 바이 침해</b><br/>설명: 악성 광고(Malvertising)를 사용하여 사용자를<br/>ChatGPT와 같은 AI 플랫폼을 사칭하는 웹사이트로 유도.”] class recon_drive_by reconnaissance %% 실행 단계 exec_clickfix[“<b>기술</b> – <b>T1204.004 사용자 실행: 악성 복사 및 붙여넣기</b><br/>설명: BSOD 또는 reCAPTCHA와 같은 가짜 오류 메시지를 이용한<br/>ClickFix 기법으로 사용자가 PowerShell 명령을 실행하도록 유도.”] class exec_clickfix execution %% 지속성 및 C2 단계 pers_webshell[“<b>기술</b> – <b>T1505.003 서버 소프트웨어 구성 요소: 웹 셸</b><br/>설명: session-manager.php MU-Plugin 또는<br/>Responsive Webshell과 같은 PHP 백도어를 배포.”] class pers_webshell persistence pers_valid_acc[“<b>기술</b> – <b>T1078 유효한 계정</b><br/>설명: 정상적인 자격 증명을 사용하여 침해된<br/>WordPress 관리자 페이지에 대한 접근 유지.”] class pers_valid_acc persistence c2_etherhiding[“<b>기술</b> – <b>EtherHiding</b><br/>설명: 블록체인 스마트 계약을 Dead Drop Resolver로 활용하여<br/>C2 인프라와 통신.”] class c2_etherhiding command_control %% 페이로드 전달 및 자격 증명 접근 del_ingress[“<b>기술</b> – <b>T1105 인그레스 툴 전송</b><br/>설명: PowerShell을 사용하여 악성 바이너리를 다운로드하고<br/>7z를 이용해 압축 해제.”] class del_ingress delivery acc_cred_access[“<b>기술</b> – <b>T1539 자격 증명 접근</b><br/>설명: 악성코드 계열이 탈취한 자격 증명,<br/>웹 세션 쿠키 및 민감한 WooCommerce 데이터를 유출.”] class acc_cred_access delivery malware_stealer[“<b>악성코드</b> – <b>Vidar 또는 Stealc</b><br/>설명: 공격자가 제어하는 도메인으로 데이터를 유출하는<br/>정보 탈취형 악성코드.”] class malware_stealer delivery %% 연결 흐름 recon_cred –>|이어짐| exec_clickfix recon_drive_by –>|이어짐| exec_clickfix exec_clickfix –>|활성화| pers_webshell exec_clickfix –>|활성화| pers_valid_acc pers_webshell –>|지원| c2_etherhiding pers_valid_acc –>|지원| c2_etherhiding c2_etherhiding –>|명령| del_ingress del_ingress –>|배포| malware_stealer malware_stealer –>|수행| acc_cred_access
공격 흐름
시뮬레이션 실행
전제 조건: 텔레메트리 및 베이스라인 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 활성화하도록 설계된 적대적 기법 (TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 식별된 TTP를 직접 반영하고 탐지 로직이 기대하는 정확한 텔레메트리를 생성하기 위한 것입니다. 추상적이거나 관련이 없는 예는 오진으로 이어질 수 있습니다.
-
공격 서사 및 명령: 공격자가 사용자를 악성 웹사이트의 “수정” 버튼을 클릭하도록 성공적으로 속였습니다. 이는 페이로드를 다운로드하고 암호 해독하도록 설계된 PowerShell 명령을 실행합니다. 간단한 문자열 기반 탐지를 피하기 위해 스크립트는 XOR 해독을 사용합니다. 공격자는 특정 ErrTraffic 헤더
<# 코드 검증: 656560395146 #>를 사용하여 특정 내부 검사를 우회하거나 자신의 프레임워크를 위한 표시로 사용합니다. 스크립트는[convert]::ToInt32를 사용하여 XOR 키를 처리하고-bxor연산자를 사용하여 페이로드 바이트를 해독합니다. -
회귀 테스트 스크립트:
# ErrTraffic ClickFix PowerShell 페이로드 해독 루틴 시뮬레이션 $header = "<# 코드 검증: 656560395146 #>" $encodedPayload = @(10, 20, 30, 40) $key = [convert]::ToInt32("5") Write-Host "페이로드 해독 초기화 중..." $decrypted = foreach ($byte in $encodedPayload) { $byte -bxor $key } Write-Host "해독 완료." -
정리 명령:
# 시뮬레이션 스크립트로 인한 영구적 변경 사항은 없습니다. # 그냥 콘솔을 지우십시오. Clear-Host