SOC Prime Bias: 위급

24 Jun 2026 15:55 UTC
newspaper icon picussecurity.com

한달라 위협 그룹: 전술, 목표, 및 공격 타임라인

Author Photo
SOC Prime Team linkedin icon 팔로우
한달라 위협 그룹: 전술, 목표, 및 공격 타임라인
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


요약

Handala는 파괴적 사이버 작전을 수행하는 이란 연계 해킹 그룹입니다. 이 그룹은 피싱, AutoIT 기반 로더 및 와이퍼 악성코드를 결합한 다단계 공격 체인을 사용합니다. 그들의 캠페인은 주로 이스라엘, 미국 및 지역 인프라 표적을 대상으로 한 방해 및 데이터 파괴를 목표로 합니다.

조사

보고서는 Handala가 전통적인 해커티비스트 활동에서 더 고급 파괴적 작전으로 전환한 것에 대한 개요를 설명합니다. 이 보고서는 그 그룹의 권한 상승을 위한 BYOVD 기술 사용과 Windows 및 Linux 환경 모두에서 와이퍼 페이로드를 배포하는 것을 연구합니다. 기술 분석은 또한 Telegram을 통한 명령 및 제어 활동과 일괄 스크립트에 내장된 난독화 방법을 다룹니다.

완화

조직은 악성 첨부 파일 및 의심스러운 ZIP 기반 다운로드를 차단하기 위해 엄격한 이메일 필터링을 적용해야 합니다. 취약하거나 허가받지 않은 드라이버 사용을 제한하면 BYOVD 악용의 위험을 줄일 수 있으며, 허가받지 않은 AutoIT 실행을 모니터링하면 초기 단계 활동을 감지하는데 도움이 될 수 있습니다. 엔드포인트 방어는 또한 빠른 파일 덮어쓰기와 허가받지 않은 디스크 포맷의 행위를 식별하도록 조정되어야 합니다.

대응

Handala 관련 활동이 감지되면 영향을 받는 호스트를 즉시 격리하여 와이퍼 악성코드의 확산을 멈춰야 합니다. 조사자는 메모리 포렌식을 수행하여 주입된 셸 코드를 식별하고 허가받지 않은 드라이버 로드 여부로 시스템을 검토해야 합니다. 또한 피싱 캠페인의 범위를 확인하기 위해 이메일 로그를 분석하고 모든 손상된 인증 정보를 지체 없이 교체해야 합니다.

“graph TB %% Class Definitions classDef initial_access fill:#f9f,stroke:#333,stroke-width:2px classDef execution fill:#bbf,stroke:#333,stroke-width:2px classDef privilege_escalation fill:#fbb,stroke:#333,stroke-width:2px classDef defense_evasion fill:#bfb,stroke:#333,stroke-width:2px classDef discovery fill:#fff4dd,stroke:#333,stroke-width:2px classDef command_and_control fill:#d4f1f9,stroke:#333,stroke-width:2px classDef impact fill:#ffcccb,stroke:#333,stroke-width:2px %% Initial Access Stage action_phishing[“<b>Action</b> – <b idea='T1566.001'>Phishing: Spearphishing Attachment</b><br/><b>Description</b>: Deceptive emails containing<br/>malicious PDF attachments or ZIP archives.<br/><b>Examples</b>: update.zip, F5UPDATER.EXE”] class action_phishing initial_access %% Execution Stage action_execution[“<b>Action</b> – <b idea='T1059'>Command and Scripting Interpreter</b><br/><b>Description</b>: Utilizing NSIS executables and<br/>compiled AutoIT scripts to load shellcode.”] class action_execution execution %% Privilege Escalation Stage action_priv_esc[“<b>Action</b> – <b idea='T1068'>Exploitation for Privilege Escalation</b><br/><b>Description</b>: Using Bring Your Own Vulnerable Driver (BYOVD)<br/>mechanism to access kernel memory.”] tool_vulnerable_driver[“<b>Tool</b> – <b idea='BYOVD'>ListOpenedFileDrv_32.sys</b><br/><b>Description</b>: A driver used to gain higher<br/>levels of control over the system.”] class action_priv_esc privilege_escalation class tool_vulnerable_driver privilege_escalation %% Defense Evasion Stage action_evasion[“<b>Action</b> – <b idea='T1027.016'>Obfuscated Files or Information: Junk Code Insertion</b><br/><b>Description</b>: Inserting invalid garbage commands into<br/>batch scripts to confuse analysts.”] class action_evasion defense_evasion %% Discovery Stage action_discovery[“<b>Action</b> – <b idea='T1082'>System Information Discovery</b><br/><b>Description</b>: Collecting hostnames, domain information,<br/>and user details.”] class action_discovery discovery %% Command and Control Stage action_cnc[“<b>Action</b> – <b idea='T1102.002'>Web Service: Telegram</b><br/><b>Description</b>: Using Telegram channels with hardcoded<br/>Bot and Channel IDs for communication.”] class action_cnc command_and_control %% Impact Stage action_impact[“<b>Action</b> – <b idea='T1561.001'>Disk Wipe: Disk Content Wipe</b><br/><b>Description</b>: Aggressively overwriting target files<br/>with randomized 4096-byte blocks or zeroes.”] class action_impact impact %% Connections action_phishing –>|leads_to| action_execution action_execution –>|triggers| action_priv_esc action_priv_esc –>|utilizes| tool_vulnerable_driver action_execution –>|employs| action_evasion action_execution –>|performs| action_discovery action_discovery –>|establishes| action_cnc action_cnc –>|facilitates| action_impact “

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 & 베이스라인 비행 전 검사에 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대자 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 서사는 MUST TTP에 직접적으로 반영되어야 하며 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성해야 합니다. 모호하거나 관련이 없는 예는 오진을 초래할 것입니다.

  • 공격 서사 및 명령: 공격자는 성공적으로 스피어피싱 첨부 파일을 통해 악성 NSIS 설치 프로그램을 전달했습니다. 실행 시, NSIS 엔진은 숨겨진 명령 셸을 실행시킵니다. 목표는 두 번째 스크립트 (Carroll.cmd)를 작업 디렉토리에 떨어뜨리고 사용자 상호작용 없이 즉시 실행하는 것입니다. 눈에 잘 띄지 않기 위해 공격자는 SW_HIDE 를 사용하여 명령 프롬프트 창이 사용자의 데스크톱에 팝업되지 않도록 합니다. 이 기술은 임의의 명령을 실행하기 위해 합법적인 설치 소프트웨어를 사용합니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: NSIS 명령 줄 실행을 모방
# 참고: 탐지 규칙에 의해 캡처된 '명령 줄'을 시뮬레이션하기 위해 
# 특정 문자열을 감지하는 프로세스 생성을 트리거합니다.

$MaliciousCommand = 'ExecShell open cmd "/k copy Carroll Carroll.cmd & Carroll.cmd & exit" SW_HIDE'

# NSIS 프로세스 생성 시뮬레이션을 정확히 하기 위해, 우리는 cmd.exe 
# 문자열을 인수로 전달하여 명령 줄 텔레메트리에 나타나도록 합니다.
Start-Process "cmd.exe" -ArgumentList "/c echo $MaliciousCommand"

Write-Host "시뮬레이션 명령이 실행되었습니다. SIEM에서 다음을 확인하세요: $MaliciousCommand"

  • 정리 명령:

    # 시뮬레이션 중 생성된 모든 파일을 제거합니다.
Remove-Item -Path "$env:TEMPCarroll.cmd" -ErrorAction SilentlyContinue
Remove-Item -Path "$env:TEMPCarroll" -ErrorAction SilentlyContinue

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입