드래곤리턴 작전: 중국 연결 스파이, 인도 세금 인프라 타겟팅
Detection stack
- AIDR
- Alert
- ETL
- Query
요약
중국과 연계된 고도화된 사이버 스파이 작전이 인도의 세금 생태계를 목표로 하여 재무부를 가장하고 있습니다. 이 작전은 스피어 피싱 이메일과 악성 첨부 파일을 사용하여 다단계 DcRAT 감염 체인을 전달합니다. 악성 소프트웨어는 스테가노그래피, AMSI 우회 및 파일 없는 .NET 실행에 의존하여 손상된 시스템에 지속성을 유지하고 민감한 정보를 탈취합니다.
조사
Seqrite Lab은 가짜 정부 유틸리티를 중심으로 구축된 다단계 감염 체인을 분석하여 이 캠페인을 밝혀냈습니다. 조사를 통해 DLL을 호출하는 라이트웨이트 런처가 사용되는 것으로 나타났고, 이는 코드가 svchost.exe에 주입되도록 합니다. 분석가는 또한 JPG 이미지 안에 숨겨진 스테가노그래픽 페이로드를 식별하고 TLS를 통한 암호화된 명령 및 제어 트래픽을 관찰했습니다.
완화
조직은 가장된 정부 도메인에서 전송된 의심스러운 첨부 파일과 링크를 차단하기 위해 강력한 이메일 필터링을 배포해야 합니다. 보안 팀은 특히 Windows 혼합 현실과 같은 합법적 구성 요소로 가장된 서비스에서의 무단 Windows 서비스 생성에 대해 모니터링해야 합니다. 엄격한 UAC(사용자 계정 컨트롤) 정책을 시행하고 의심스러운 메모리 내 .NET 실행을 감시하는 것도 타협의 영향을 줄이는 데 도움이 될 수 있습니다.
응답
이 활동이 감지되면 영향을 받는 엔드포인트를 즉시 격리하여 추가 명령 및 제어 통신 및 데이터 도난을 방지해야 합니다. 조사관은 주입된 코드가 있는 svchost.exe 메모리 포렌식을 수행하고 MixedSvc와 같은 무단 서비스에 대해 확인해야 합니다. 네트워크 로그도 식별된 도메인 및 IP 주소와의 연결을 검토해야 하며, 사건 대응은 자격 증명 순환 및 시스템 무결성 검증에 중점을 두어야 합니다.
공격 흐름
시뮬레이션 실행
필수 조건: 텔레메트리 & 기준선 사전 비행 점검이 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적수 기술(TTP)의 정확한 실행을 세부적으로 설명합니다. 명령어와 내러티브는 반드시 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예는 오진으로 이어질 것입니다.
-
공격 내러티브 및 명령: 적수는 성공적으로 2차 드로퍼를 배포했습니다. 지속성을 확보하고 추가 명령을 수신하기 위해 악성 소프트웨어는 하드코딩된 C2 인프라에 연결을 시도합니다. 공격자의 목표는 비표준 포트(2671)를 사용하여 표준 웹 프록시를 우회하는 것입니다. 시뮬레이션은 PowerShell을 사용하여 이 동작을 모방하고 특정 도메인
kkxqbh.top에 포트2671로 TCP 연결을 시도함으로써 탐지 규칙에 의해 요구되는 정확한도메인and포트텔레메트리를 생성합니다. -
회귀 테스트 스크립트:
# DragonReturn C2 통신의 시뮬레이션 $C2Domain = "kkxqbh.top" $C2Port = 2671 Write-Host "[+] $C2Domain에 포트 $C2Port로 C2 연결을 시뮬레이션하려고 시도 중..." try { # 지정된 IoC로의 연결을 시작하기 위해 TCP 클라이언트 사용 $tcpClient = New-Object System.Net.Sockets.TcpClient $connection = $tcpClient.BeginConnect($C2Domain, $C2Port, $null, $null) # 텔레메트리가 생성될 수 있도록 짧은 기간 기다림 $success = $connection.AsyncWaitHandle.WaitOne(5000, $false) if ($success) { Write-Host "[!] 연결이 성립되었습니다(시뮬레이션된 C2 성공)." } else { Write-Host "[?] 연결이 실패했습니다(도메인이 비활성 상태인 경우 예상됨), 하지만 텔레메트리가 생성되었을 것입니다." } $tcpClient.Close() } catch { Write-Host "[!] 시뮬레이션 중 오류 발생: $_" } -
정리 명령:
# 영구적인 변경사항 없음; 이번 네트워크 전용 시뮬레이션에 대한 정리 필요 없음. Write-Host "[+] 시뮬레이션 완료. 시스템 변경 사항 없음."