OpenClaw의 Hologram, 가짜 설치 프로그램과 Rust 인포스틸러 배포

Ruslan Mikhalov SOC Prime에서 위협 연구 책임자

팔로우

OpenClaw의 Hologram, 가짜 설치 프로그램과 Rust 인포스틸러 배포

Detection stack

AIDR
Alert
ETL
Query

위협 보고서
공격 흐름
탐지
시뮬레이션

요약

정교한 러스트 기반 정보 탈취기가 가짜 OpenClaw 설치 프로그램을 통해 확산되고 있습니다. Hologram으로 추적된 초기 드로퍼는 6개 구성 모듈 임플란트를 배포하기 전에 여러 샌드박스 회피 기술을 적용합니다. 이 작전은 또한 Azure DevOps, Telegram, Hookdeck과 같은 합법적인 플랫폼을 명령 및 제어와 데드 드롭 전달에 악용하고 있습니다. 주된 목표는 암호화폐 지갑과 비밀번호 관리자 브라우저 확장 프로그램에서 자격 증명을 훔치는 것입니다.

조사

Netskope 위협 연구소는 Hologram과 Pathfinder의 두 캠페인 파도를 조사하고, 가짜 설치 프로그램에서 최종 자격 증명 탈취 모듈에 이르는 전체 감염 체인을 매핑했습니다. 그들의 분석은 VM 방지 검사, 마우스 움직임 요구, Microsoft Defender를 비활성화하는 PowerShell 러너, Run 키, Winlogon userinit 하이재킹, 예약된 작업, COM 하이재킹을 포함한 여러 지속성 방법을 밝혀냈습니다. 연구자들은 또한 도메인, Telegram 채널, Hookdeck 웹훅을 통한 빈번한 인프라 변경을 관찰했습니다.

완화 방안

방어자들은 가짜 OpenClaw 설치 프로그램의 다운로드를 차단하고, 캠페인과 관련된 큰 130MB의 러스트 PE에 주의를 기울여야 합니다. 보안팀은 또한 실생성 폴더의 OneDriveSync.lnk 단축키 생성과 Winlogon userinit관련 레지스트리 수정 사항을 모니터링해야 합니다. 비개발자 시스템에서 Azure DevOps, Telegram API, Hookdeck 엔드포인트로의 아웃바운드 액세스는 엄격히 통제되어야 하며, 방화벽 규칙은 포트 56001 에서 57002.

까지의 인바운드 연결을 차단해야 합니다.

위협이 감지되면, 즉시 영향을 받은 엔드포인트를 격리하고, 드롭된 바이너리와 관련 파일을 수집하며, 레지스트리 변경 및 예약 작업 아티팩트의 포렌식 분석을 수행하세요. 노출된 Azure DevOps 토큰은 회수하고, 손상된 Telegram 봇 자격 증명은 교체해야 합니다. 감지 콘텐츠는 관찰된 뮤텍스, 파일 이름, 네트워크 지표를 포함하도록 업데이트해야 합니다. 관련 이해관계자들에게 통보하고, CERT 또는 영향받은 서비스 제공자에게 보고하는 것을 고려해야 합니다.

"graph TB %% 클래스 정의 classDef technique fill:#ffcc99 classDef action fill:#99ccff classDef tool fill:#cccccc classDef file fill:#ffe699 classDef process fill:#ff9999 classDef shortcut fill:#c2f0c2 classDef registry fill:#c2d6f0 classDef scheduled fill:#f0c2c2 classDef c2 fill:#d9c2f0 %% 노드 정의 file_openclaw["파일: OpenClaw_x64.exe 유형: 가짜 설치 프로그램"] class file_openclaw file initial_access["기법 – T1204.002 사용자 실행: 악성 파일 설명: 피해자가 openclawu2011installer.com에서 악성 설치 프로그램 실행"] class initial_access technique defense_evasion_vm["기법 – T1497.002 가상화/샌드박스 회피: 사용자 활동 기반 검사 설명: 드로퍼가 VM, 하드웨어 지문을 체크하고 마우스 움직임을 기다림"] class defense_evasion_vm technique defense_evasion_firewall["기법 – T1562.004 방어 손상: 방화벽 비활성화 또는 수정 설명: PowerShell이 Windows Defender를 비활성화하고 인바운드 포트 56001u201157002를 엶"] class defense_evasion_firewall technique tool_powershell["도구: PowerShell 설명: 보안 구성 요소 비활성화를 위한 스크립트 실행"] class tool_powershell tool execution_reflective["기법 – T1620 반사적 코드 로딩 설명: 메모리에서 memexec를 통해 실행된 복호화된 단계u20112 바이너리"] class execution_reflective technique execution_injection["기법 – T1055.002 프로세스 인젝션: 휴대용 실행 파일 인젝션 설명: svc_service.exe가 직접 NT 시스템 호출을 사용하여 페이로드 인젝션"] class execution_injection technique process_svc["프로세스: svc_service.exe 설명: CLR을 호스트하고 인젝션 수행"] class process_svc process persistence_shortcut["기법 – T1547.009 바로가기 수정 설명: 시작 폴더에 LNK 바로가기 배치"] class persistence_shortcut technique file_shortcut["파일: OneDriveSync.lnk 위치: 시작 폴더"] class file_shortcut shortcut persistence_hijack["기법 – T1574 실행 흐름 하이재킹 설명: 레지스트리 변경을 통해 WinLogon Userinit, COM 하이재킹, 예약 작업 생성"] class persistence_hijack technique node_registry["레지스트리: WinLogon Userinit 수정 작업: 실행 순서 변경"] class node_registry registry node_task["예약 작업: 로그온 작업 작업: 사용자 로그온 시 페이로드 실행"] class node_task scheduled c2_dead_drop["기법 – T1102.001 웹 서비스: 데드 드롭 리졸버 설명: Telegram 채널 설명에서 C2 도메인 가져오기"] class c2_dead_drop technique c2_telegram["C2 채널: Telegram 설명"] class c2_telegram c2 c2_bidirectional["기법 – T1102.002 웹 서비스: 양방향 통신 설명: Hookdeck 웹훅 릴레이와 Telegram Bot API를 통한 통신"] class c2_bidirectional technique tool_hookdeck["도구: Hookdeck 웹훅 릴레이 설명: HTTP 요청 릴레이"] class tool_hookdeck tool tool_telegram_bot["도구: Telegram Bot API 설명: 양방향 메시징 제공"] class tool_telegram_bot tool %% 연결 file_openclaw –>|트리거| initial_access initial_access –>|루트| defense_evasion_vm defense_evasion_vm –>|루트| defense_evasion_firewall defense_evasion_firewall –>|실행_주체| tool_powershell defense_evasion_firewall –>|루트| execution_reflective execution_reflective –>|로드| process_svc process_svc –>|수행| execution_injection execution_injection –>|생성| file_shortcut file_shortcut –>|활성화| persistence_shortcut persistence_shortcut –>|지원| persistence_hijack persistence_hijack –>|수정| node_registry persistence_hijack –>|생성| node_task persistence_hijack –>|획득| c2_dead_drop c2_dead_drop –>|소스| c2_telegram c2_dead_drop –>|사용| c2_bidirectional c2_bidirectional –>|릴레이| tool_hookdeck c2_bidirectional –>|커뮤니케이션| tool_telegram_bot "

공격 흐름

공격 설명 및 명령어:

적은 악성 OpenClaw 가짜 설치 프로그램을 획득합니다 (OpenClaw_x64.exe).
사용자가 이를 합법적인 지갑 도구로 믿고 설치 프로그램을 실행합니다 (T1204).
설치 프로그램이 즉시 단일 명령줄을 실행하여 샌드박스 휴리스틱을 우회하고 모듈식 임플란트 프레임워크를 구축할 수 있도록 한 번에 6개의 악성 페이로드 바이너리를 스폰합니다 (T1027.009, T1608.001, T1546.016, T1127).

규칙에 의해 예상되는 정확한 명령줄은 다음과 같습니다:
```
OpenClaw_x64.exe svc_service.exe virtnetwork.exe onedrive_sync.exe audioeq.exe WinHealhCare.exe OneSync.exe
```

회귀 테스트 스크립트:

# -------------------------------------------------
# 시뮬레이션 스크립트 – OpenClaw 탐지를 트리거
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"

# 가짜 설치 프로그램이 존재하는지 확인 (무해한 플레이스홀더 생성)
if (-not (Test-Path $installerPath)) {
    New-Item -ItemType File -Path $installerPath -Force | Out-Null
}

# 모든 6개의 페이로드 이름이 포함된 인수 목록 생성
$payloads = @(
    "svc_service.exe",
    "virtnetwork.exe",
    "onedrive_sync.exe",
    "audioeq.exe",
    "WinHealhCare.exe",
    "OneSync.exe"
)
$argString = $payloads -join " "

# 전체 악성 명령줄로 설치 프로그램 시작
Write-Host "악성 설치 프로그램 실행..."
Start-Process -FilePath $installerPath -ArgumentList $argString -NoNewWindow

# Sysmon 로그/보안 로그 이벤트를 기다리기 위해 몇 초간 대기
Start-Sleep -Seconds 5
Write-Host "시뮬레이션 완료. SIEM에서 경고를 확인하세요."

정리 명령어:

# -------------------------------------------------
# 정리 스크립트 – 테스트를 위한 생성된 아티팩트 제거
# -------------------------------------------------
$installerPath = "C:TempOpenClaw_x64.exe"
if (Test-Path $installerPath) {
    Remove-Item -Path $installerPath -Force
}

# 선택 사항으로 남아 있는 더미 페이로드 프로세스를 종료 (이들은 단지 자리 표시자일 뿐입니다)
Get-Process -Name "svc_service","virtnetwork","onedrive_sync","audioeq","WinHealhCare","OneSync" -ErrorAction SilentlyContinue |
    Stop-Process -Force
Write-Host "정리 완료."

SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀사의 비즈니스에 가장 중요한 위협에 대한 가시성을 개선하세요. 시작을 돕고 즉각적인 가치를 제공하기 위해 지금 SOC Prime 전문가와의 회의를 예약하세요.

무료 가입