SOC Prime Bias: 높음

17 Apr 2026 14:27 UTC

협력자를 찾아라: SmokedHam, Qilin, 몇 개의 구글 광고와 일부 감독 소프트웨어

Author Photo
SOC Prime Team linkedin icon 팔로우
협력자를 찾아라: SmokedHam, Qilin, 몇 개의 구글 광고와 일부 감독 소프트웨어
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

Orange Cyberdefense는 2026년 초에 랜섬웨어 제휴업체가 합법적인 유틸리티 소프트웨어로 위장한 악성 광고를 통해 SmokedHam 백도어를 배포했다고 보고했습니다. 최소 한 건의 확인된 침입에서 이 백도어는 나중에 Qilin 랜섬웨어를 전달하는 데 사용되었습니다. 연구원들은 중간 정도의 신뢰도로 이 활동을 러시아어 사용 제휴업체 UNC2465에, 이전에는 DarkSide, LockBit 및 Hunters International의 작업과 관련이 있었던 위협 행위자와 연결했습니다.

조사

조사 결과는 2025년과 2026년에 수집된 30개 이상의 SmokedHam 샘플을 검토하여 정상적인 관리 작업에 악성 활동을 숨기기 위해 Cloudflare Workers를 사용한 도메인 프론팅과 AWS 호스팅된 인프라에 의존한 말버타이징 도메인을 식별했습니다. 분석가들은 또한 PuTTY 및 Total Commander와 같은 합법적인 도구의 남용을 문서화했습니다. 보고서는 또한 UNC2465와 이전에 연결된 활동과의 전술적 중복을 강조했습니다.

완화

방어자들은 알려진 말버타이징 도메인을 차단하고 RVTools와 Remote Desktop Manager와 같은 도구에 대한 애플리케이션 허용 목록을 강제하며, 합법적인 관리 유틸리티의 비정상적인 사용을 모니터링해야 합니다. SmokedHam 백도어 행동 및 관련 침입 후 활동을 식별하기 위해 엔드포인트 탐지 범위를 강화해야 합니다. 클라우드 기반 위협 인텔리전스 피드의 사용은 탐지 및 풍부화 노력을 더욱 향상시킬 수 있습니다.

대응

의심스러운 활동이 식별되면 감염된 호스트를 즉시 격리하고, 포렌식 아티팩트를 수집하고, SmokedHam 및 Qilin과 관련된 지표를 검색해야 합니다. 조사관은 인증 정보 도난 또는 랜섬웨어 암호화가 이미 발생했는지 확인해야 합니다. 관련 인프라 전반에 대한 더 광범위한 위협 사냥이 권장되며, 확립된 랜섬웨어 사고 대응 절차를 활성화해야 합니다.

공격 흐름

시뮬레이션

우리는 이 부분을 여전히 업데이트 중입니다. 알림을 받으려면 가입하세요

알림 받기