Microsoft Teams 테마의 피싱 캠페인으로 원격 액세스 제공
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
활성 피싱 캠페인은 Microsoft Teams 테마를 활용하여 정당한 원격 액세스 도구를 무단 액세스에 배포합니다. 피해자는 생산성 서비스로 가장한 사기성 랜딩 페이지로 안내되어 악성 인스톨러를 다운로드하게 됩니다. 이 작전은 타협된 합법 웹사이트와 공격자가 제어하는 클라우드 호스팅을 포함하는 이중 인프라 전략을 활용합니다.
조사
조사는 소셜 엔지니어링을 활용하여 소프트웨어 다운로드를 유도하는 다중 테마 캠페인을 확인했습니다. 분석 결과, 타협된 소규모 비즈니스 웹사이트와 Cloudflare에 호스팅된 전용 서비스를 포함하는 인프라가 드러났습니다. 실행 후 활동으로는 서비스 설치를 통한 심층 시스템 통합, LSA 인증 패키지 등록, 그리고 지속적인 액세스를 위한 COM 객체 하이재킹이 포함됩니다.
완화
조직은 피싱 방지 MFA와 애플리케이션 허용 목록을 구현하여 무단 소프트웨어 설치를 제한해야 합니다. 보안 팀은 비정상적인 Windows 서비스 생성, LSA 인증 패키지 수정, SafeMode 레지스트리 변경을 모니터링해야 합니다. 사용자 인식 교육은 특히 예기치 않은 협업 플랫폼 알림 확인에 중점을 두어야 합니다.
대응
탐지 시, 조직은 추가적인 횡적 이동을 방지하기 위해 영향을 받은 엔드포인트를 격리해야 합니다. 모든 지속성 메커니즘을 식별하고 제거하기 위해 법의학적 검토를 수행해야 하며, 여기에는 사용자 지정 자격 증명 공급자와 COM 객체가 포함됩니다. 영향을 받은 모든 사용자 계정에 대한 포괄적인 자격 증명 재설정이 강력히 권장됩니다.
"flowchart TD step_initial_access["초기 액세스: T1566.002 – 피싱: Microsoft Teams 알림을 가장한 스피어피싱 링크"] step_drive_by["T1189 – 사기성 랜딩 페이지를 통해 설치 프로그램 다운로드를 유도하는 드라이브 바이 컴프로마이즈"] step_user_execution["사용자 실행: T1204.002 – 악성 파일; 시스템 검사(T1497.001) 및 실행 지연(T1678)을 포함"] step_execution_injection["T1055 – COM 객체 등록을 통한 프로세스 인젝션 및 원격 액세스 도구(T1219) 사용"] rules_for_execution_injection("<b>규칙 이름</b>: 비정상적인 최상위 도메인(TLD) DNS 요청에 의한 의심스러운 명령 및 제어(via dns)<br/><b>규칙 ID</b>: eca0d706-cdb9-488b-b4e2-ef2a4692f58c") step_persistence["지속성: T1543.003 (Windows 서비스), T1547.002 (부팅/로그인 자동 시작), 및 T1546.015 (COM 하이재킹)"] step_credential_access["자격 증명 액세스: T1556 – 인증 프로세스를 수정하여 로그인 시 자격 증명 가로채기"] step_initial_access –>|leads_to| step_drive_by step_drive_by –>|leads_to| step_user_execution step_user_execution –>|leads_to| step_execution_injection step_execution_injection –>|leads_to| step_persistence step_persistence –>|leads_to| step_credential_access step_execution_injection -.->|detected_by| rules_for_execution_injection "
공격 흐름
시뮬레이션 실행
필수 조건: 전자 및 기준 프리 플라이트 검사를 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 반드시 확인된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령: 적대자는 악성 링크가 포함된 Microsoft Teams 테마 피싱 이메일을 전달합니다
.msi패키지입니다. 사용자가 패키지를 실행하면msiexec.exe가 숨겨진 백도어를 설치하도록 설계된 매개변수와 함께 호출됩니다. 지속성을 달성하려면 인스톨러가rundll32.exe를 호출하여 사용자 정의 DLL을 로드하고 새로운 시스템 서비스를 등록합니다. 이 명령줄에는 특히 이 위협 인텔리전스 보고서에 설명된 행동을 모방하여 탐지 규칙을 트리거하는 ‘service’ 문자열이 포함됩니다.service로 위협 인텔리전스 보고서에 설명된 행동을 모방하여 탐지 규칙을 트리거합니다. -
회귀 테스트 스크립트:
# 탐지 규칙을 트리거하기 위한 시뮬레이션 스크립트 # 목표: 명령줄에 'service' 포함된 msiexec 또는 rundll32 실행 Write-Host "[+] 시뮬레이션 시작: MSI/Rundll32 서비스 탐지 트리거" -ForegroundColor Cyan # 시나리오 1: msiexec.exe 통해 트리거 Write-Host "[+] 시나리오 1: 'service' 키워드로 msiexec 실행 중..." -ForegroundColor Yellow Start-Process "msiexec.exe" -ArgumentList "/i C:WindowsSystem32msiexec.exe /service /quiet" -Wait # 시나리오 2: rundll32.exe 통해 트리거 Write-Host "[+] 시나리오 2: 'service' 키워드로 rundll32.exe 실행 중..." -ForegroundColor Yellow Start-Process "rundll32.exe" -ArgumentList "C:WindowsSystem32user32.dll,UpdatePerUserSystemParameters service" -Wait Write-Host "[+] 시뮬레이션 완료." -ForegroundColor Green -
정리 명령:
# 시뮬레이션 스크립트는 기존 시스템 바이너리 및 비파괴적인 인수를 사용하여 영구적인 변경을 하지 않았습니다. 정리 필요 없음. Write-Host "[+] 정리: 생성된 아티팩트 없음." -ForegroundColor Cyan