실버 폭스 APT

사이버 보안 전문가들이 대만 사용자를 주로 표적으로 삼는 고도화되고 진화하는 피싱 캠페인을 발견했습니다. Silver Fox APT로 알려진 위협 그룹이 주도한 이 작전은 악성 코드가 포함된 문서와 사기성 이메일을 사용하여 악명 높은 Gh0st RAT 의 변종인 HoldingHands RAT와 Gh0stCringe를 포함한 일련의 위험한 원격 액세스 트로이 목마(RAT)를 유포합니다.

친숙한 얼굴을 이용한 피싱: 정부 기관 사칭

공격은 대만 국세청과 같은 공공 기관을 사칭하는 피싱 이메일로 시작됩니다. 이러한 이메일에는 세금, 송장, 연금 관련 내용이 포함되어 수신자의 신뢰를 악용하고 첨부 파일을 열도록 유도하는 경우가 많습니다. 일부 변형된 형태에서는 내장된 이미지를 클릭하면 악성코드가 다운로드되도록 유도하는데, 이는 기존의 문서 기반 미끼와는 다른 양상입니다.

무기화된 문서: 악성코드 전달 수단으로서의 PDF 및 ZIP 파일

주요 배포 방식은 피싱 이메일에 첨부된 악성 PDF 문서 또는 ZIP 압축 파일입니다. 이러한 파일에는 사용자를 다음과 같은 내용이 포함된 ZIP 파일을 호스팅하는 다운로드 페이지로 리디렉션하는 링크가 포함되어 있습니다.

• 합법적으로 보이는 실행 파일
• 셸코드 로더
• 암호화된 셸코드

이러한 구성 요소가 실행되면 경보를 발생시키지 않고도 맬웨어를 배포하는 데 함께 작동합니다.

다단계 감염 사슬: 다층적인 속임수

감염은 여러 가지 정교한 단계로 진행됩니다.

셸코드 로더 활성화 : 셸코드 로더는 내장된 셸코드를 해독하고 실행합니다.

DLL 사이드 로딩 : 합법적인 바이너리를 악용하여 악성 DLL 파일을 사이드 로딩함으로써 맬웨어를 눈에 띄지 않게 숨깁니다.

VM 방지 및 권한 상승 : 이러한 기술은 맬웨어가 샌드박스 환경에서 감지되지 않도록 하고 상승된 시스템 권한을 보호합니다.

탑재량과 목적: 간첩 및 통제

최종 페이로드에는 'msgDb.dat'라는 파일이 포함되어 있으며, 이 파일은 주요 명령 및 제어(C2) 모듈 역할을 합니다. 활성화되면 다음과 같은 작업을 수행합니다.

• 민감한 사용자 정보를 수집합니다
• 추가 구성 요소를 다운로드합니다
• 원격 데스크톱 제어를 활성화합니다
• 감염된 시스템의 파일을 관리합니다

이러한 기능은 손상된 시스템에 대한 장기적인 접근 및 감시를 유지하려는 의도를 시사합니다.

진화하는 전술: Silver Fox APT의 일관된 혁신

Silver Fox APT는 다음을 사용하여 도구 세트와 공격 기술을 지속적으로 개선하고 있습니다.

• Winos 4.0 프레임워크
• HTM 다운로드 페이지를 통한 Gh0stCringe 전파
• HoldingHands RAT(Gh0stBins라고도 함)

이 그룹은 복잡한 셸코드, 계층형 로더, 다양한 전달 벡터를 사용하는데, 이는 탐지를 피하고 침투 성공률을 극대화하려는 지속적인 노력을 보여줍니다.

결론: 정교한 위협 행위자에 대한 경계가 핵심입니다.

이 캠페인은 Silver Fox와 같은 APT 조직의 지능화 추세를 보여줍니다. 신뢰할 수 있는 테마, 사기성 파일 형식, 그리고 은밀한 실행 기법을 활용하는 이러한 공격자들은 표적 조직에 심각한 위협을 가하고 있습니다. 지속적인 모니터링, 적시 패치 적용, 그리고 강력한 이메일 보안은 이처럼 진화하는 위협에 맞서는 중요한 방어 수단입니다.