SOC Prime Bias: 중요

18 Jun 2026 14:28 UTC

SloppyLemming Attack Techniques & BurrowShell Backdoor Explained

Author Photo
SOC Prime Team linkedin icon 팔로우
SloppyLemming Attack Techniques & BurrowShell Backdoor Explained
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

SloppyLemming은 남아시아와 동남아시아의 중요 산업을 대상으로 하는 사이버 스파이 그룹입니다. 이 그룹은 BurrowShell 백도어와 Rust 기반 키로거를 포함한 맞춤형 악성코드를 전달하기 위해 스피어피싱에 의존합니다. 또한 명령 및 제어 활동과 자격 증명 탈취 작업을 지원하기 위해 Cloudflare Workers를 광범위하게 사용합니다.

조사

보고서는 악성 엑셀 매크로와 스푸핑된 인증 포털을 포함하는 다단계 캠페인을 설명합니다. 연구자들은 정부 기관을 모방하기 위해 제작된 Cloudflare 하위 도메인을 식별하고 그룹의 맞춤형 셸코드와 키로깅 기능을 분석했습니다. 또한 SloppyLemming이 동적 API 해상도와 RC4로 암호화된 페이로드를 통해 정적 분석을 피하는 방법도 보여주었습니다.

완화

조직은 악성 첨부 파일과 피싱 링크가 전달되기 전에 차단할 수 있도록 강력한 이메일 필터링을 배포해야 합니다. 보안 팀은 NGenTask.exe를 포함한 승인되지 않은 실행 키 수정 및 의심스러운 부모-자식 프로세스 관계를 모니터링해야 합니다. 예상치 못한 DLL을 로드하는 것. 탐지는 또한 비정상적인 Cloudflare Worker 트래픽 및 승인되지 않은 OAuth 토큰 사용의 모든 징후를 포함해야 합니다. loading unexpected DLLs. Detection should also cover unusual Cloudflare Worker traffic and any signs of unauthorized OAuth token use.

응답

이 활동이 감지되면 명령 및 제어 채널을 통한 추가 데이터 유출을 차단하기 위해 영향을 받은 시스템을 즉시 격리하십시오. BurrowShell 셸코드를 복구하고 침해 정도를 확인하기 위해 메모리 포렌식을 수행하십시오. 키로거 또는 OAuth 가로채기를 통해 노출되었을 가능성이 있는 계정의 자격 증명을 재설정하시고, 특히 Google 계정에 주의를 기울이십시오.

공격 흐름

시뮬레이션 실행

전제 조건: 텔레메트리 및 기준선 사전 비행 점검이 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령과 설명은 확인된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 기대되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다. 추상적이거나 관련이 없는 예제는 오진으로 이어질 수 있습니다.

  • 공격 내러티브 및 명령: 적은 지속성을 유지하고 코드를 은밀하게 실행하려고 합니다. 그들은 audiodg.exe 프로세스 흐름을 하이재킹 하기 위해 mscorsvc.dll 을(를) 인수로 전달하여 SloppyLemming의 알려진 기술을 사용합니다. 탐지를 더 복잡하게 만들기 위해, 그들은 또한 명령 문자열에서 OneDrive.exe 이라는 이름의 2차 악성 프로세스를 사용하여 그들의 존재를 숨기려 할 수도 있습니다. 목표는 audiodg.exe 및 의심스러운 DLL 또는 가장된 이름의 특정 조합을 일치시켜 탐지 규칙을 트리거하는 것입니다.

  • 회귀 테스트 스크립트:

    # 시뮬레이션 스크립트: SloppyLemming TTP 에뮬레이션
    # 시나리오 1: audiodg.exe를 mscorsvc.dll로 하이재킹
    Write-Host "[+] audiodg.exe와 mscorsvc.dll 하이재킹 시뮬레이션 중..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden
    
    # 시나리오 2: 명령줄에서 OneDrive.exe로 가장
    Write-Host "[+] audiodg.exe 실행과 OneDrive.exe로 가장하는 중..."
    Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden
  • 정리 명령:

    # 정리: cmd /c 명령어로 생성되는 영구적 아티팩트는 없지만,
    # 남아 있는 의심스러운 프로세스를 방지하기 위해 종료합니다.
    Stop-Process -Name "cmd" -ErrorAction SilentlyContinue