SOC Prime Bias: 높음

17 Jun 2026 13:03 UTC

작전 포이송: 전체 사이버 범죄 작전을 분석

Author Photo
SOC Prime Team linkedin icon 팔로우
작전 포이송: 전체 사이버 범죄 작전을 분석
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

개요

“Poisson”으로 알려진 저숙련 위협 행위자가 프랑스 개인과 중소기업을 대상으로 여러 단계의 자격 증명 탈취 캠페인을 수행했습니다. 공격자는 Havoc C2, 사용자 정의 Python 키로거를 사용했으며 OpenSSH와 Tailscale VPN 메쉬를 통해 지속 가능한 접근 권한을 구축했습니다. 이 설정을 통해 운영자는 주요 명령 및 제어 인프라가 중단된 후에도 접근 권한을 유지할 수 있었습니다.

조사

Cato CTRL은 공격자 활동 33일과 기록된 명령 339건을 포함하는 심층 사건 후 검토를 수행했습니다. 조사는 Backblaze B2, DuckDNS, IONOS와 같은 무료 서비스 사용과 C2 제거 후에도 생존하기 위한 지속성 설계를 밝혀냈습니다. 연구원들은 또한 공용 저장 버킷에서 실수로 노출된 운영자의 SSH 실행 계통서 및 피해자 SSH 키를 복구했습니다.

완화

방어자는 워크스테이션에서 OpenSSH 서버 배치에 대한 경보를 생성하고 예상치 못한 시스템에서 Tailscale VPN 활동을 모니터링해야 합니다. 조직은 또한 SSH 역터널을 탐지하고 권한이 상승된 상태로 실행되는 의심스러운 예약 작업을 추적해야 합니다. 효과적인 복구는 C2 접근 제거를 넘어 메쉬 VPN 기반의 지속성 메커니즘 제거를 포함해야 합니다.

대응

이 활동이 식별되면 보안 팀은 즉시 활동 중인 Tailscale 또는 SSH 메쉬 연결을 찾아 해체해야 합니다. 조사관은 모든 예약 작업과 시작 바로가기를 검토하여 승인되지 않은 지속성을 확인해야 합니다. 키로거 사용으로 자격 증명 손상의 가능성이 높기 때문에 모든 사용자에 대한 전체 자격 증명 재설정이 권장됩니다.

공격 흐름

시뮬레이션 실행

전제 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.

결론: 이 섹션은 탐지 규칙을 유발하도록 설계된 적 공격 기술(TTP)의 정확한 실행을 설명합니다. 명령과 서술은 식별된 TTP를 직접 반영하고 탐지 논리에서 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 오진을 유발할 수 있습니다.

  • 공격 내러티브 및 명령: “Poisson” 그룹을 시뮬레이션하는 적은 원격 접근 발판을 구축하려고 합니다. 첫째, 그들은 이름이 thales.zip 인 페이로드를 임시 디렉토리에 만듭니다. 권한을 상승시키기 위해 PowerShell 명령을 사용하여 RunAs 동사를 사용하여 UAC 프롬프트를 트리거하는 일반적인 방법을 사용합니다. 마지막으로 rustdesk.exe 를 실행하여 2차 원격 데스크톱 통신 채널을 제공합니다. 이 일련의 행동은 탐지 규칙에 정의된 특정 행동 패턴(UAC 상승 + RustDesk + 특정 zip 파일)을 모방합니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: Poisson TTP 에뮬레이션
    
    # 1. 'thales.zip' 파일을 준비 (탐지 논리에 필요)
    $targetZip = "$env:TEMPthales.zip"
    New-Item -Path $targetZip -ItemType File -Force
    Write-Host "[+] Staged $targetZip"
    
    # 2. PowerShell을 통한 UAC 상승 시도 시뮬레이션 (탐지 논리에 필요)
    # 주의: 실제 환경에서는 UAC 프롬프트가 표시됩니다.
    Write-Host "[+] Start-Process -Verb RunAs를 통해 UAC 상승 시도 중..."
    Start-Process powershell.exe -ArgumentList "-Command Write-Host 'Elevation Attempted'" -Verb RunAs
    
    # 3. RustDesk 실행 시뮬레이션 (탐지 논리에 필요)
    # 실제 설치 없이 탐지를 위해 임시 폴더에 더미 rustdesk.exe를 생성합니다.
    $rustdeskPath = "$env:TEMPrustdesk.exe"
    New-Item -Path $rustdeskPath -ItemType File -Force
    Write-Host "[+] Executing simulated RustDesk at $rustdeskPath"
    Start-Process $rustdeskPath
  • 청소 명령:

    # 시뮬레이션 아티팩트 정리
    Remove-Item -Path "$env:TEMPthales.zip" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPrustdesk.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "[+] Clean up complete."