MS 사칭 피싱과 Dead-drop C2 기반 APT37 NarwhalRAT 분석
Contents
◈ 주요 결과 (Key Findings)
- Microsoft 계정 팀과 사이버 보안 안내문으로 위장한 스피어피싱 통해 초기 침투 수행
- 악성 LNK 파일을 이용해 Compiled Python Script 기반 NarwhalRAT 설치 유도
- 키로깅, 화면 캡처, USB 수집, 원격 명령 실행 등 다양한 정보탈취 행위 수행
- 한국 경유지와 pCloud API를 Dead-drop Resolver로 활용하는 이중 C2 구조 운영
- LNK, PowerShell 기반 연쇄 악용 행위를 탐지할 수 있는 EDR 정책 강화 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 최근 Compiled Python 기반 악성코드가 지속적으로 유포되고 있는 사실을 확인했습니다. 본 위협은 2026년 5월 11일 공개된 「AI 딥페이크 사칭 캠페인 후속 Python 백도어 위협 분석」 보고서에서 확인된 공격 시나리오 및 TTPs와 높은 유사성을 보입니다.
이번 공격은 「[긴급] 일회용 인증코드(OTP) 반복 발생에 따른 보안 점검 안내」라는 제목의 스피어피싱 메일을 통해 수행되었습니다. 발신자는 'Microsoft 계정 팀'으로 표시되어 공식 계정 보안팀에서 발송한 것처럼 사칭하고 있으나, 실제 발신 도메인은 MS의 공식 소유 도메인이 아닌 것으로 확인되었습니다.
공격 메일은 MS 계정 보안 경고를 사칭한 본문을 포함하고 …
- Microsoft 계정 팀과 사이버 보안 안내문으로 위장한 스피어피싱 통해 초기 침투 수행
- 악성 LNK 파일을 이용해 Compiled Python Script 기반 NarwhalRAT 설치 유도
- 키로깅, 화면 캡처, USB 수집, 원격 명령 실행 등 다양한 정보탈취 행위 수행
- 한국 경유지와 pCloud API를 Dead-drop Resolver로 활용하는 이중 C2 구조 운영
- LNK, PowerShell 기반 연쇄 악용 행위를 탐지할 수 있는 EDR 정책 강화 필요
1. 개요 (Overview)
지니언스 시큐리티 센터(Genians Security Center)는 최근 Compiled Python 기반 악성코드가 지속적으로 유포되고 있는 사실을 확인했습니다. 본 위협은 2026년 5월 11일 공개된 「AI 딥페이크 사칭 캠페인 후속 Python 백도어 위협 분석」 보고서에서 확인된 공격 시나리오 및 TTPs와 높은 유사성을 보입니다.
이번 공격은 「[긴급] 일회용 인증코드(OTP) 반복 발생에 따른 보안 점검 안내」라는 제목의 스피어피싱 메일을 통해 수행되었습니다. 발신자는 'Microsoft 계정 팀'으로 표시되어 공식 계정 보안팀에서 발송한 것처럼 사칭하고 있으나, 실제 발신 도메인은 MS의 공식 소유 도메인이 아닌 것으로 확인되었습니다.
공격 메일은 MS 계정 보안 경고를 사칭한 본문을 포함하고 …
IoC
http://webhostingkorea.com
http://61.100.9.206
http://218.150.78.198
http://www.novel21.co.kr/data/editor/2110/index.php
http://121.254.222.80
http://novel21.co.kr
http://211.239.157.126
http://www.daehoat.com/wp-content/uploads/2017/02/member.php
http://121.254.222.10
http://crwellfood.com
http://fe01.co.kr
http://218.150.78.231
http://api.pcloud.com
http://daehoat.com
211.239.157.126
218.150.78.231
218.150.78.198
121.254.222.10
61.100.9.206
121.254.222.80
b6b0602310bb2d4360c52685119aac1b
7cef19f9c4480adac0cd4702ff98f46c
3715092aa00f380cefe8b4d2eddb7d08
7eb9cee1f696727752169f25cf79a338
http://61.100.9.206
http://218.150.78.198
http://www.novel21.co.kr/data/editor/2110/index.php
http://121.254.222.80
http://novel21.co.kr
http://211.239.157.126
http://www.daehoat.com/wp-content/uploads/2017/02/member.php
http://121.254.222.10
http://crwellfood.com
http://fe01.co.kr
http://218.150.78.231
http://api.pcloud.com
http://daehoat.com
211.239.157.126
218.150.78.231
218.150.78.198
121.254.222.10
61.100.9.206
121.254.222.80
b6b0602310bb2d4360c52685119aac1b
7cef19f9c4480adac0cd4702ff98f46c
3715092aa00f380cefe8b4d2eddb7d08
7eb9cee1f696727752169f25cf79a338