비밀 접근 작전: 아르헨티나 사법 부문을 겨냥한 무기화된 LNK 기반 스피어 피싱으로 은밀한 RAT 배포
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
Seqrite는 무기화된 LNK 바로 가기와 악성 BAT 로더를 전달하는 스피어 피싱 작전을 식별했습니다. 실행되면, 로더는 GitHub 저장소에서 Rust 기반 원격 액세스 트로이 목마를 다운로드하여 실행하며, 반 분석 확인을 수행하고 지속 가능한 명령 및 제어 채널을 설정합니다. 이 활동은 아르헨티나의 사법 기관과 인접한 정부 기관을 대상으로 하는 것으로 평가됩니다. 실행 가능성을 높이기 위해 공격자는 전달 패키지에 합법적으로 보이는 PDF 미끼 콘텐츠를 포함합니다.
조사
분석가들은 LNK, BAT, PDF 파일을 포함한 ZIP 아카이브를 조사한 후, BAT 로더를 트리거하기 위해 사용된 PowerShell 명령 시퀀스를 재구성했습니다. 그들은 RAT의 기능, VM/샌드박스 방어 체크, 호스트 정찰 및 시스템 핑거프린팅, 지속성 설정, C2를 통한 암호화 작업을 프로파일링했습니다. 관찰된 행동은 변장, PowerShell 실행 정책 회피, 기본 채널 실패 시 연결 유지를 위한 2차/대체 C2 논리와 같은 주목할 만한 패턴과 함께 MITRE ATT&CK 기법에 매핑되었습니다.
대응책
사용자 기록 가능한 위치 및 압축 아카이브로부터의 바로 가기(LNK) 실행에 대한 엄격한 거버넌스를 적용하고, 중앙 집중식 로그 기록을 통해 강화된 PowerShell 실행 정책을 시행하십시오. 무단 GitHub 저장소로의 아웃바운드 접근을 제한하거나 프록시하여 스크립트 인터프리터에서 시작된 의심스러운 다운로드 및 실행 패턴에 대해 경고합니다. Run 레지스트리 키 또는 비정상적이거나 새로 관찰된 이름의 예약 작업을 통해 지속성을 모니터링합니다. 가능한 경우, 일반적인 반 분석 행동을 드러내는 탐지를 배포하고 PDF를 처리하는 사용자는 최소 권한으로 작동하여 성공적인 실행의 피해 범위를 줄입니다.
대응
무기화된 LNK가 생성되거나 실행될 때, 그리고 관련 PowerShell 호출 체인이 관찰될 때 경고를 트리거하십시오. 낙임된 msedge_proxy.exe 아티팩트와 레지스트리 또는 작업 스케줄러에 연결된 지속성 항목을 사전에 검색합니다. 영향을 받은 엔드포인트를 격리하고 악성 프로세스 트리를 종료하며, 생성된 예약 작업 및 Run 키 값을 제거합니다. 데이터가 준비되었거나 유출되었는지 범위를 확인하고 추가로 노출된 호스트를 확인하기 위해 전체 포렌식 검토를 완료하십시오.
공격 흐름
탐지
Microsoft Edge Named Binary가 프로그램 파일 외부에 의해 실행됨 (cmdline 통해)
보기
가상화 드라이버 아티팩트를 통한 의심스러운 반 VM 검사 (cmdline 통해)
보기
GitHub에서 다운로드된 Windows 바이너리 (프록시 통해)
보기
시스템 열거 가능성 (cmdline 통해)
보기
탐지할 IOC (SourceIP): 은폐 액세스 운영: 무기화된 LNK 기반 스피어 피싱이 아르헨티나의 사법 부문을 대상으로 은밀한 RAT 배포
보기
탐지할 IOC (DestinationIP): 은폐 액세스 운영: 무기화된 LNK 기반 스피어 피싱이 아르헨티나의 사법 부문을 대상으로 은밀한 RAT 배포
보기
탐지할 IOC (HashMd5): 은폐 액세스 운영: 무기화된 LNK 기반 스피어 피싱이 아르헨티나의 사법 부문을 대상으로 은밀한 RAT 배포
보기
무기화된 LNK 기반 스피어 피싱 및 PowerShell 실행 [Windows PowerShell]
보기
msedge_proxy.exe 실행 탐지 [Windows 프로세스 생성]
보기
시뮬레이션 실행
사전 요구 사항: 원격 측정 및 기본 상태 사전 점검이 통과되어야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대자 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영하여 탐지 논리에 의해 예상되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련 없는 예시는 오진을 초래할 수 있습니다.
-
공격 내러티브 및 명령:
-
초기 타협: 공격자는 무기화된 스피어 피싱 이메일을 전송합니다
.lnk바로 가기는 사법 직원을 대상으로 한 것입니다. 바로 가기는 다음을 실행하는 PowerShell 명령을 가리킵니다-ExecutionPolicy Bypass하고 숨겨진 창으로 실행하여 의심을 피합니다. -
실행 흐름: 사용자가 바로 가기를 클릭하면, Windows는 다음 명령을 실행하여 다음을 시작합니다
health‑check.bat. 배치 파일에는 실제 악성 페이로드(예: RAT을 가져오는 PowerShell 다운로드)가 포함됩니다.powershell.exe -ep bypass -w hidden -f health-check.bat -
페이로드 전달:
health-check.bat은 조용히 악성 C2에 HTTP GET을 수행하고, 페이로드를 다음에 기록합니다%TEMP%그리고 실행합니다.
-
-
회귀 테스트 스크립트: 아래 스크립트는 안전한 테스트를 위해 무해한 내용을 포함한 다음을 생성하여 정확한 원격 측정을 재현합니다
health‑check.bat, 그리고 PowerShell 명령을 실행합니다.# ------------------------------------------------- # 시뮬레이션 스크립트 – 무기화된 LNK PowerShell 실행 # ------------------------------------------------- # 1. 더미 health-check.bat 생성 (테스트를 위해 무해한 상태 유지) $batPath = "$env:TEMPhealth-check.bat" Set-Content -Path $batPath -Value '@echo off & echo Simulated payload executed' -Encoding ASCII # 2. 정확한 플래그 및 스크립트 이름으로 PowerShell 실행 $psCommand = "powershell.exe -ep bypass -w hidden -f `"$batPath`"" Write-Host "Executing: $psCommand" Start-Process -FilePath "powershell.exe" -ArgumentList "-ep", "bypass", "-w", "hidden", "-f", $batPath -NoNewWindow # 3. 로그 생성 보장을 위해 몇 초간 대기 Start-Sleep -Seconds 5 # ------------------------------------------------- -
정리 명령어: 테스트 배치 파일 및 남아있는 프로세스를 제거합니다.
# 더미 health-check.bat 정리 Remove-Item -Path "$env:TEMPhealth-check.bat" -ErrorAction SilentlyContinue # 테스트에서 남은 불필요한 PowerShell 인스턴스가 없도록 함 Get-Process -Name "powershell" -ErrorAction SilentlyContinue | Stop-Process -Force