SOC Prime Bias: Critical

30 Dec 2025 13:52 UTC

실버 폭스, 세금 테마의 피싱 미끼로 인도 타겟팅

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
실버 폭스, 세금 테마의 피싱 미끼로 인도 타겟팅
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Silver Fox라는 중국 APT 그룹이 인도 기관을 대상으로 세금 주제의 피싱 캠페인을 수행합니다. 초기 이메일에는 피해자를 악성 도메인으로 유도하고 ZIP 파일 다운로드를 유발하는 PDF가 포함됩니다. 이 ZIP에는 Thunder.exe와 악성 libexpat.dll을 떨어뜨리는 NSIS 설치 프로그램이 포함되어 있으며, DLL 하이재킹, 분석 방지 검사를 수행하고 암호화된 쉘 코드를 로드합니다. 최종 페이로드는 다단계 C2 인프라스트럭처에서 설정을 수신하는 Valley RAT입니다.

조사

보고서에서는 4단계를 세부적으로 설명합니다: (1) PDF 유혹을 통한 ZIP 전달, (2) Thunder.exe와 libexpat.dll을 떨어뜨리는 NSIS 설치 프로그램 실행, (3) explorer.exe에 주입하는 Donut 생성 쉘코드 로더, (4) 레지스트리 기반 지속성과 모듈형 플러그인을 가진 Valley RAT 배포. 분석에는 바이너리의 정적 및 동적 검사, C2 도메인 나열 및 ATT&CK 기술 매핑이 포함됩니다.

완화

수비수는 임시 위치에서 서명되지 않은 DLL을 로드하는 서명된 바이너리를 모니터링하고, HKCUConsole 아래의 레지스트리 쓰기, explorer.exe에서 PAGE_EXECUTE_READWRITE 메모리의 비정상적인 생성에 주의해야 합니다. 알려진 C2 도메인 및 IP를 차단하고 다중 계층 폴백 동작을 탐지하면 노출을 줄일 수 있습니다. 초기 NSIS 설치 프로그램을 차단하기 위해 엄격한 애플리케이션 제어 및 샌드박스 회피 탐지를 구현하십시오.

대응

지표가 관찰되면, 영향을 받는 호스트를 고립시키고 프로세스 주입 분석을 위해 휘발성 메모리를 수집하며, Valley RAT 레지스트리 키 및 플러그인을 검색하세요. 확인된 모든 C2 인프라를 차단하고 침해된 자격 증명을 재설정하십시오. 추가 플러그인이나 측면 이동 도구를 식별하기 위해 전체 포렌식 검토를 수행하십시오.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 유발하도록 설계된 적대 기술 (TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 식별된 TTP와 직접적으로 반영되어 탐지 논리에 기대되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예제는 오진을 초래할 수 있습니다.

  • 공격 내러티브 & 명령어:
    적대자가 희생자의 %TEMP% 디렉토리에 드롭된 “Thunder.exe”와 함께 악성 DLL을 전달합니다. 사용자 의심을 피하기 위해 페이로드는 이미 실행 중인 explorer.exe 프로세스를 사용하여 Windows ShellExecute API를 통해 실행되며, 이로 인해 프로세스 생성 이벤트 에서 explorer.exe 부모로 나타납니다. 악성 Thunder.exe 는 이후 악성 DLL을 로드하고 (DLL 하이재킹), 쉘코드를 explorer.exe 프로세스에 주입 (프로세스 주입)하여 사용자 토큰을 사용하여 코드 실행을 달성합니다.

  • 회귀 테스트 스크립트:

    # -------------------------------------------------
    # Sigma 탐지를 트리거하는 회귀 스크립트
    # -------------------------------------------------
    # 1. 가짜 Thunder.exe 준비 (notepad.exe의 복사본)
    $tempDir   = "$env:TEMP"
    $thunderPath = Join-Path -Path $tempDir -ChildPath "Thunder.exe"
    Copy-Item -Path "$env:SystemRootsystem32notepad.exe" -Destination $thunderPath -Force
    
    # 2. (선택사항) 하이재킹을 모방하기 위해 악성 DLL을 그 옆에 드롭
    $malDll = Join-Path -Path $tempDir -ChildPath "malicious.dll"
    # 시연을 위해 단순히 빈 파일을 생성함; 실제 테스트에서는 작성된 DLL이어야 합니다.
    New-Item -Path $malDll -ItemType File -Force | Out-Null
    
    # 3. ShellExecute를 사용하여 explorer.exe를 통해 Thunder.exe 실행 (Start-Process -Verb RunAs로 시뮬레이트)
    $explorer = (Get-Process -Name explorer).Id
    # PowerShell을 사용하여 탐색기 부모로 프로세스를 시작 (저수준 API 필요; 여기에서는 근사화)
    Start-Process -FilePath $thunderPath -ArgumentList "" -PassThru | Out-Null
    
    # 4. 로그가 생성되도록 짧은 시간 대기
    Start-Sleep -Seconds 5
    
    # 5. 정리 (다음 섹션에서 처리)
  • 정리 명령어:

    # -------------------------------------------------
    # 시뮬레이션 후 정리
    # -------------------------------------------------
    # %TEMP%에서 가짜 Thunder.exe 및 더미 DLL 제거
    Remove-Item -Path "$env:TEMPThunder.exe" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPmalicious.dll" -Force -ErrorAction SilentlyContinue
    
    # 필요 시 남아있는 Thunder.exe 프로세스 종료
    Get-Process -Name "Thunder" -ErrorAction SilentlyContinue | Stop-Process -Force