팔로우 
요약
위협 행위자들이 AI 기반의 웹사이트 빌더를 사용하여 브라질 은행 브랜드를 모방하는 설득력 있는 피싱 페이지를 만들고 있습니다. 이러한 페이지는 ClickFix 기술에 의존하며, 가짜 CAPTCHA 검사 및 시스템 복구 메시지를 사용하여 피해자를 속여 악성 PowerShell 명령을 실행하게 합니다. 그 결과 SmartRAT라는 원격 액세스 및 금융 정보 도난을 위해 구축된 PowerShell 기반의 banking 트로이 목마가 배포됩니다.
조사
Zscaler ThreatLabz는 여러 타이포스쿼팅 도메인을 식별하고 전체 감염 체인을 분석하여, AI 생성 코드 주석 및 검사 저항성을 위해 설계된 스크립트를 관찰했습니다. 또한, 클라이언트 쪽 localStorage 조작을 통해 인증 우회를 가능하게 하는 AI로 구축된 명령 및 제어 패널의 취약점을 노출했습니다. 연구원들은 SmartRAT 통신 프로토콜을 추가로 디코딩하고 AES-CBC 암호화 사용을 문서화했습니다.
완화
조직은 알려진 타이포스쿼팅 및 악성 도메인을 차단하기 위해 웹 필터링을 배포해야 합니다. 엔드포인트 방어는 의심스러운 PowerShell 활동과 승인되지 않은 예약 작업 생성을 탐지하고 제한하도록 구성해야 합니다. 사용자 인식 노력은 가짜 블루 스크린, 복구, 혹은 CAPTCHA 프롬프트를 포함한 ClickFix 스타일의 사회 공학을 인식할 수 있도록 직원들을 교육해야 합니다.
대응
SmartRAT 활동이 감지되면, 영향을 받은 엔드포인트를 즉시 격리하여 명령 및 제어 트래픽을 중지하고 추가 이동을 제한해야 합니다. 포렌식 분석을 수행하여 서비스 기반인지 예약 작업 기반인지 지속성 방법을 확인하고, 관련 아티팩트 msedgeupdate.txt를 검색합니다. 식별된 인프라에 대한 트래픽을 웹 프록시 로그에서 검토하고, 영향을 받은 사용자의 자격 증명 재설정을 시작합니다.
“graph TB
%% 클래스 정의 섹션
classDef action fill:#99ccff
classDef tool fill:#cccccc
classDef malware fill:#ff9999
classDef technique fill:#ccffcc
%% 초기 접근 및 실행 단계
action_phishing[“액션 – T1566 피싱
위협 행위자가 타이포스쿼팅 도메인과 AI 생성 웹사이트를 이용하여 피해자를 유도합니다.”]
class action_phishing action
action_clickfix[“액션 – T1204.004 사용자 실행: 악성 복사 및 붙여넣기
사용자에게 악성 PowerShell 명령을 Windows 실행 상자에 붙여 넣도록 속입니다.”]
class action_clickfix action
action_ingress[“액션 – T1105 인그레스 도구 전송
원격 IP 64.95.13.238에서 st.txt라는 은밀한 드롭퍼를 다운로드합니다.”]
class action_ingress action
tool_dropper[“도구 – 이름: st.txt
설명: 주요 악성 소프트웨어 전달을 용이하게 하기 위해 사용되는 은밀한 드롭퍼.”]
class tool_dropper tool
%% 악성 소프트웨어 실행 및 지속성 단계
malware_smartrat[“악성 소프트웨어 – 이름: SmartRAT
설명: 감시 및 금융 데이터 도난을 위해 사용되는 주요 RAT.”]
class malware_smartrat malware
action_user_exec_file[“액션 – T1204.002 사용자 실행: 악성 파일
주요 SmartRAT 악성 소프트웨어를 실행합니다.”]
class action_user_exec_file action
action_gather_info[“액션 – T1592.001/002 피해자 호스트 정보 수집
하드웨어, 소프트웨어 및 OS 세부 정보를 수집하여 고유 ID 토큰을 생성합니다.”]
class action_gather_info action
action_persistence_service[“액션 – T1543.003 시스템 프로세스 생성 또는 수정: Windows 서비스
MicrosoftEdgeUpdateCore라는 Windows 서비스를 생성하여 지속성을 유지합니다.”]
class action_persistence_service action
action_persistence_registry[“액션 – 레지스트리 실행 키를 통한 지속성
접근을 유지하기 위해 레지스트리 실행 키를 사용합니다.”]
class action_persistence_registry action
action_priv_esc[“액션 – T1548 권한 상승
서비스를 SYSTEM 권한으로 실행하도록 UAC 상승을 요청합니다.”]
class action_priv_esc action
%% 명령 및 제어 및 데이터 추출 단계
action_c2[“액션 – T1071 명령 및 제어
비표준 포트 51888에서 통신을 위해 원시 TCP 소켓을 사용합니다.”]
class action_c2 action
action_exfiltrate[“액션 – T1041 C2 채널을 통한 데이터 추출
설정된 C2 연결을 통해 금융 데이터를 도난합니다.”]
class action_exfiltrate action
%% 사후 착취 및 회피 단계
action_video_capture[“액션 – T1125 비디오 캡처
감시를 위해 화면 스트리밍을 수행합니다.”]
class action_video_capture action
action_input_tracking[“액션 – T1056 입력 추적
키로깅을 사용하여 사용자 입력을 모니터링합니다.”]
class action_input_tracking action
action_mfa_interception[“액션 – T1111 다중 인증 차단
브랜드로 만들어진 가짜 오버레이를 사용하여 MFA 토큰을 도난합니다.”]
class action_mfa_interception action
action_masquerading[“액션 – T1036 위장
탐지를 피하기 위해 msedge.txt와 같은 미끼 파일 이름을 사용합니다.”]
class action_masquerading action
action_file_deletion[“액션 – T1070.004 지표 제거: 파일 삭제
포렌식 흔적을 줄이기 위해 제거 명령을 사용합니다.”]
class action_file_deletion action
%% 연결 흐름
action_phishing –>|leads_to| action_clickfix
action_clickfix –>|leads_to| action_ingress
action_ingress –>|downloads| tool_dropper
tool_dropper –>|executes| action_user_exec_file
action_user_exec_file –>|launches| malware_smartrat
malware_smartrat –>|performs| action_gather_info
malware_smartrat –>|establishes| action_persistence_service
malware_smartrat –>|establishes| action_persistence_registry
malware_smartrat –>|attempts| action_priv_esc
action_priv_esc –>|enables| action_c2
action_c2 –>|used_for| action_exfiltrate
action_c2 –>|used_for| action_video_capture
action_c2 –>|used_for| action_input_tracking
action_c2 –>|used_for| action_mfa_interception
malware_smartrat –>|uses| action_masquerading
malware_smartrat –>|performs| action_file_deletion
“
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – 소프트웨어/NTUSER 하이브] (레지스트리_이벤트 통해)
보기
Powershell을 통한 다운로드 또는 업로드 (cmdline 통해)
보기
Powershell에서 의심스러운 .NET 메소드 호출 (powershell 통해)
보기
Powershell에서 의심스러운 Windows API 함수 호출 (powershell 통해)
보기
공개 사용자 프로필에 의심스러운 파일 (file_event 통해)
보기
SmartRAT PowerShell 실행 탐지 (PowerShell ScriptBlockText 통해) [Windows Sysmon]
보기
스케줄된 작업 및 레지스트리 수정을 통한 SmartRAT 지속성 [Windows 프로세스 생성]
보기
SmartRAT가 사용하는 PowerShell 명령 및 기술 탐지 [Windows Powershell]
보기
## 시뮬레이션 실행
필수 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.
합리적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령 및 내러티브는 반드시 식별된 TTP를 직접 반영하고, 탐지 로직에 의해 기대되는 정확한 텔레메트리 생성을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령: 적대자는 피싱 캠페인(T1566)을 통해 초기 접근을 성공적으로 획득했으며, 이제 지속성을 확립하려고 시도하고 있습니다. 합법적인 시스템 활동과 어우러지기 위해 공격자는 “Living-off-the-Land” 접근을 사용하여 Microsoft Edge 업데이트 프로세스로 위장한 악성 명령을 실행합니다 (T1036). 공격자는 문자열을 포함한 명령 줄 지시를 실행하여, 실제 시나리오에서는 스케줄된 작업이나 서비스를 생성하는 시뮬레이션 지속성 메커니즘을 트리거합니다.
msedgeupdate.txt지속성 메커니즘을 시뮬레이션하여, 실제 시나리오에서는 스케줄된 작업 또는 서비스의 생성을 포함할 것입니다. -
회귀 테스트 스크립트:
# SmartRAT 지속성 시뮬레이션 스크립트 # 이 스크립트는 탐지 규칙을 트리거하기 위해 필요한 특정 명령 줄 텔레메트리를 생성합니다. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # 명령 줄을 다소 현실적으로 보이도록 더미 파일을 생성합니다. New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] 명령 줄을 통한 SmartRAT 지속성 시뮬레이션: $TargetString" -ForegroundColor Cyan # 탐지 로직을 트리거하는 명령을 실행합니다. Start-Process cmd.exe -ArgumentList "/c echo 'Simulating SmartRAT activity with $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] 시뮬레이션 명령이 실행되었습니다." -ForegroundColor Green -
정리 명령:
# 시뮬레이션 중 생성된 더미 파일을 정리합니다. Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] 정리가 완료되었습니다." -ForegroundColor Yellow