팔로우 
요약
맞춤형 악성 소프트웨어 캠페인이 무기화된 RAR 아카이브를 통해 태국의 의료 부문을 적극적으로 공격하고 있습니다. 이 아카이브는 다단계 감염 체인을 유발하고 궁극적으로 파이썬 기반의 정보 탈취자를 실행하는 난독화된 배치 스크립트를 포함하고 있습니다. 이 악성 소프트웨어는 브라우저 자격 증명과 세션 쿠키를 캡처하여 Telegram을 통해 탈취된 데이터를 외부로 전송하도록 설계되었습니다.
조사
Seqrite Lab은 2026년 4월부터 6월까지 10주 동안의 활성 캠페인 창을 식별했습니다. 그들의 조사는 Rouki 난독화 로더, GitHub에 호스팅된 페이로드, Windows 시작 폴더를 통한 지속성 확립을 포함하는 복잡한 실행 체인을 밝혀냈습니다. 분석가들은 또한 크로미움 기반 브라우저에서 정보를 훔치고 Telegram Bot API를 통해 전송하려는 시도를 관찰했습니다.
완화
조직은 외부 소스에서 획득한 신뢰할 수 없는 스크립트와 바이너리의 실행에 엄격한 통제를 시행해야 합니다. Windows 시작 폴더의 무단 변경 모니터링이 필수적입니다. 보안 팀은 승인되지 않은 프로세스에 의해 사용될 때 GitHub 및 Telegram과 같은 파일 호스팅 및 메신저 서비스에 대한 액세스를 제한해야 합니다.
응답
감염이 감지되면, 응답자는 추가 데이터 도난을 막기 위해 즉시 감염된 엔드포인트를 격리해야 합니다. 포렌식 분석은 %TEMP% and AppData 디렉터리에서 2차 페이로드 및 관련 아티팩트를 식별하기 위한 것입니다. 브라우저 기록과 자격 증명 저장소는 손상 여부에 대한 징후 검토를 해야 하며, 잠재적으로 영향을 받은 모든 사용자에 대해 암호 재설정 프로세스를 시작해야 합니다.
"graph TB %% 클래스 정의 섹션 classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef persistence fill:#ccffcc classDef exfiltration fill:#ffccff %% 노드 정의 action_phishing["<b>행동</b> – <b>T1566.001 피싱: 스피어 피싱 첨부파일</b><br/>설명: 건강 관리 테마의 이메일에 포함된<br/>Health_Ministry_Approved_Equipment_2026.rar와 같은 악성 RAR 아카이브"] class action_phishing action action_user_exec["<b>행동</b> – <b>T1204.002 사용자 실행: 악성 파일</b><br/>설명: 희생자가 아카이브를 열고<br/>내장된 악성 배치 스크립트를 실행"] class action_user_exec action tool_powershell["<b/>도구 – <b/>이름: PowerShell<br/><b>기법</b> – T1059.001 명령 및 스크립팅 인터프리터: PowerShell<br/>설명: 내장된 콘텐츠를 디코딩하고<br/>다음 단계의 다운로드를 시작하는 데 사용됨"] class tool_powershell tool action_ingress["<b/>행동 – <b/>T1105 도구 전송 도입</b><br/>설명: PowerShell 및 curl을 사용하여 GitHub에 호스팅된 저장소에서 2차 페이로드를 다운로드"] class action_ingress action malware_persistence["<b/>행동 – <b>T1547.001 부팅 또는 로그인 자동 시작 실행: 레지스트리 실행 키 / 시작 폴더</b><br/>설명: 악성 배치 파일 WindowSecuryt.bat이<br/>지속성을 위해 Windows 시작 폴더에 배치됨"] class malware_persistence persistence action_elevation["<b/>행동 – <b/>T1548 권한 상승 메커니즘 남용</b><br/>설명: 2차 배치 페이로드 u-t2.bat이<br/>권한 상승으로 재실행을 시도"] class action_elevation action malware_stealer["<b/>악성 소프트웨어 – <b/>이름: sim.py<br/>설명: 민감한 데이터를 수확하도록 설계된 파이썬 기반 정보 탈취자"] class malware_stealer malware action_credentials["<b/>행동 – <b>T1555.003 웹 브라우저에서 자격 증명</b><br/>설명: 브라우저 프로세스를 종료하여<br/>자격 증명, 쿠키 및 세션 아티팩트를 수확"] class action_credentials action action_archive["<b/>행동 – <b>T1560 수집된 데이터 아카이브</b><br/>설명: 탈취한 데이터를 ZIP 아카이브로 압축하여<br/>효율적인 수집"] class action_archive action action_exfiltration["<b/>행동 – <b>T1567 웹 서비스를 통한 데이터 유출</b><br/>설명: 수확한 데이터를 공격자 제어 Telegram 채널로 전송하여<br/>Telegram Bot API를 통한 유출"] class action_exfiltration exfiltration %% 연결 섹션 %% 공격은 피싱으로 시작됨 action_phishing –>|이끄는 상호작용| action_user_exec %% 사용자 실행은 인터프리터를 트리거 action_user_exec –>|트리거| tool_powershell %% PowerShell은 도입 수행 tool_powershell –>|실행| action_ingress %% 도입은 지속성 메커니즘 도입 action_ingress –>|다운로드| malware_persistence %% 지속성은 권한 상승 시도를 리드 malware_persistence –>|시작| action_elevation %% 권한 상승은 탈취자 배포로 이어짐 action_elevation –>|배포| malware_stealer %% 탈취자는 자격 증명 수확 수행 malware_stealer –>|수행| action_credentials %% 수확은 아카이빙으로 연결 action_credentials –>|결과| action_archive %% 아카이빙은 최종 데이터 유출 촉진 action_archive –>|촉진| action_exfiltration "
공격 흐름
탐지
의심스러운 Taskkill 실행 (명령줄 통해)
보기
의심스러운 폴더에서의 Python 실행 (명령줄 통해)
보기
PowerShell로 ZIP 파일 다운로드의 의심스러운 실행 (명령줄 통해)
보기
PowerShell을 통한 다운로드 또는 업로드 (명령줄 통해)
보기
공용 사용자 프로필에서 실행된 의심스러운 실행 (프로세스 생성 통해)
보기
CURL의 의심스러운 사용 (명령줄 통해)
보기
Powershell에서 의심스러운 .NET 메서드 호출 (Powershell 통해)
보기
자동 시작 위치에 의심스러운 Binary / 스크립트 (파일 이벤트 통해)
보기
공용 사용자 프로필의 의심스러운 파일들 (파일 이벤트 통해)
보기
명령 및 제어 채널로서 Telegram의 남용 가능성 (DNS 쿼리 통해)
보기
정보 탈취자 배포에 파이썬 실행과 Taskkill 사용 [Windows 시스템]
보기
시작 지속성 스크립트에서 난독화된 Curl 명령 탐지 [Windows 프로세스 생성]
보기
페이로드 배포와 시작 지속성을 위한 PowerShell 명령 [Windows PowerShell]
보기
시뮬레이션 실행
전제 조건: Telemetry 및 Baseline 사전 비행 검사가 통과해야 합니다.
이유: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적대적 기술(기법 및 절차, TTP)의 정확한 실행을 설명합니다. 명령 및 서사는 식별된 TTP를 직접 반영하고 탐지 논리에 의해 기대되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련 없는 예는 잘못된 진단을 초래할 것입니다.
-
공격 서사 및 명령: 적은 초기 접근 권한을 성공적으로 얻었고
sim.py라는 이름의 파이썬 기반 정보 탈취자를C:UsersPublicDesktopsLib에 투하했습니다. 목표는 Chrome과 Edge에서 자격 증명을 수확하는 것입니다. 사용자 프로필에서 데이터베이스 잠금을 방지하기 위해, 공격자는 파이썬 스크립트를 실행한 후 즉시taskkill명령을 실행하여 브라우저 프로세스를 종료합니다. 이 시퀀스는 자동화된 악성 소프트웨어의 행동을 모방하도록 설계되었습니다. -
회귀 테스트 스크립트:
# 1. 환경 설정 (공격자 발자국 시뮬레이션) $targetDir = "C:UsersPublicDesktopsLib" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory -Force } $scriptPath = "$targetDirsim.py" "print('데이터 탈취 중...')" | Out-File -FilePath $scriptPath -Encoding utf8 # 2. "악성" 파이썬 스크립트 실행 (트리거 선택 1) Write-Host "파이썬 스크립트 실행 중..." Start-Process "python.exe" -ArgumentList "`"$scriptPath`"" -Wait # 3. Taskkill 명령 실행 (트리거 선택 2) Write-Host "taskkill 명령 실행 중..." $browsers = @("chrome.exe", "edge.exe", "brave.exe", "chromium.exe") foreach ($browser in $browsers) { Start-Process "taskkill.exe" -ArgumentList "/IM", $browser, "/F" -ErrorAction SilentlyContinue } -
정리 명령:
# 시뮬레이션된 악성 소프트웨어 파일 및 디렉터리 제거 Remove-Item -Path "C:UsersPublicDesktopsLib" -Recurse -Force