AI를 통해 생성된 ClickFix 캠페인이 SmartRAT 제공합니다
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
위협 행위자들이 AI 기반의 웹사이트 빌더를 사용하여 브라질 은행 브랜드를 모방하는 설득력 있는 피싱 페이지를 만들고 있습니다. 이러한 페이지는 ClickFix 기술에 의존하며, 가짜 CAPTCHA 검사 및 시스템 복구 메시지를 사용하여 피해자를 속여 악성 PowerShell 명령을 실행하게 합니다. 그 결과 SmartRAT라는 원격 액세스 및 금융 정보 도난을 위해 구축된 PowerShell 기반의 banking 트로이 목마가 배포됩니다.
조사
Zscaler ThreatLabz는 여러 타이포스쿼팅 도메인을 식별하고 전체 감염 체인을 분석하여, AI 생성 코드 주석 및 검사 저항성을 위해 설계된 스크립트를 관찰했습니다. 또한, 클라이언트 쪽 localStorage 조작을 통해 인증 우회를 가능하게 하는 AI로 구축된 명령 및 제어 패널의 취약점을 노출했습니다. 연구원들은 SmartRAT 통신 프로토콜을 추가로 디코딩하고 AES-CBC 암호화 사용을 문서화했습니다.
완화
조직은 알려진 타이포스쿼팅 및 악성 도메인을 차단하기 위해 웹 필터링을 배포해야 합니다. 엔드포인트 방어는 의심스러운 PowerShell 활동과 승인되지 않은 예약 작업 생성을 탐지하고 제한하도록 구성해야 합니다. 사용자 인식 노력은 가짜 블루 스크린, 복구, 혹은 CAPTCHA 프롬프트를 포함한 ClickFix 스타일의 사회 공학을 인식할 수 있도록 직원들을 교육해야 합니다.
대응
SmartRAT 활동이 감지되면, 영향을 받은 엔드포인트를 즉시 격리하여 명령 및 제어 트래픽을 중지하고 추가 이동을 제한해야 합니다. 포렌식 분석을 수행하여 서비스 기반인지 예약 작업 기반인지 지속성 방법을 확인하고, 관련 아티팩트 msedgeupdate.txt를 검색합니다. 식별된 인프라에 대한 트래픽을 웹 프록시 로그에서 검토하고, 영향을 받은 사용자의 자격 증명 재설정을 시작합니다.
공격 흐름
탐지
가능한 지속성 지점 [ASEPs – 소프트웨어/NTUSER 하이브] (레지스트리_이벤트 통해)
보기
Powershell을 통한 다운로드 또는 업로드 (cmdline 통해)
보기
Powershell에서 의심스러운 .NET 메소드 호출 (powershell 통해)
보기
Powershell에서 의심스러운 Windows API 함수 호출 (powershell 통해)
보기
공개 사용자 프로필에 의심스러운 파일 (file_event 통해)
보기
SmartRAT PowerShell 실행 탐지 (PowerShell ScriptBlockText 통해) [Windows Sysmon]
보기
스케줄된 작업 및 레지스트리 수정을 통한 SmartRAT 지속성 [Windows 프로세스 생성]
보기
SmartRAT가 사용하는 PowerShell 명령 및 기술 탐지 [Windows Powershell]
보기
## 시뮬레이션 실행
필수 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.
합리적 근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령 및 내러티브는 반드시 식별된 TTP를 직접 반영하고, 탐지 로직에 의해 기대되는 정확한 텔레메트리 생성을 목표로 해야 합니다. 추상적이거나 관련 없는 예는 오진으로 이어질 수 있습니다.
-
공격 내러티브 및 명령: 적대자는 피싱 캠페인(T1566)을 통해 초기 접근을 성공적으로 획득했으며, 이제 지속성을 확립하려고 시도하고 있습니다. 합법적인 시스템 활동과 어우러지기 위해 공격자는 “Living-off-the-Land” 접근을 사용하여 Microsoft Edge 업데이트 프로세스로 위장한 악성 명령을 실행합니다 (T1036). 공격자는 문자열을 포함한 명령 줄 지시를 실행하여, 실제 시나리오에서는 스케줄된 작업이나 서비스를 생성하는 시뮬레이션 지속성 메커니즘을 트리거합니다.
msedgeupdate.txt지속성 메커니즘을 시뮬레이션하여, 실제 시나리오에서는 스케줄된 작업 또는 서비스의 생성을 포함할 것입니다. -
회귀 테스트 스크립트:
# SmartRAT 지속성 시뮬레이션 스크립트 # 이 스크립트는 탐지 규칙을 트리거하기 위해 필요한 특정 명령 줄 텔레메트리를 생성합니다. $TargetString = "msedgeupdate.txt" $FakePath = "C:UsersPublicDocuments$TargetString" # 명령 줄을 다소 현실적으로 보이도록 더미 파일을 생성합니다. New-Item -Path $FakePath -ItemType File -Force | Out-Null Write-Host "[+] 명령 줄을 통한 SmartRAT 지속성 시뮬레이션: $TargetString" -ForegroundColor Cyan # 탐지 로직을 트리거하는 명령을 실행합니다. Start-Process cmd.exe -ArgumentList "/c echo 'Simulating SmartRAT activity with $TargetString' > $FakePath" -WindowStyle Hidden Write-Host "[+] 시뮬레이션 명령이 실행되었습니다." -ForegroundColor Green -
정리 명령:
# 시뮬레이션 중 생성된 더미 파일을 정리합니다. Remove-Item -Path "C:UsersPublicDocumentsmsedgeupdate.txt" -Force -ErrorAction SilentlyContinue Write-Host "[+] 정리가 완료되었습니다." -ForegroundColor Yellow