APT36 Spoofs India Post Website to Infect Windows and Android Users with Malware
- 공격 개요
- APT36(Transparent Tribe)가 인도 정부기관인 India Post(인도우편청)을 사칭한 피싱 웹사이트(postindia[.]site)를 개설해 Windows 및 Android 사용자 동시 타깃으로 악성코드 유포
- CYFIRMA 분석 결과, 캠페인은 2024년 10월 PDF 제작 → 11월 도메인 등록 → 2025년 공격 실행 흐름을 가짐
- Windows 사용자를 대상으로 한 공격 방식
- 웹사이트 접속 시 악성 PDF 문서 다운로드 유도
- 문서에는 “ClickFix” 전술이 포함되어 있음
- 사용자가 Win + R 실행창에 PowerShell 명령어를 붙여넣도록 유도, 이후 2차 악성 페이로드를 외부 서버(88.222.245[.]211)에서 다운로드 시도
- PDF 메타데이터에 작성자 이름 "PMYLS" 포함, 이는 파키스탄 청년 노트북 사업(PMYLS) 언급 가능성
- 웹사이트 접속 시 악성 PDF 문서 다운로드 유도
- Android 사용자를 대상으로 한 공격 방식
- 모바일 접속 시 ‘더 나은 사용자 경험’을 이유로 APK 파일(indiapost.apk) 설치 유도
- 앱 설치 후 위치 정보, 연락처, 외부 저장소 접근 권한 등 민감정보 탈취 목적 권한 요청
- 앱 아이콘은 설치 후 Google 계정 아이콘으로 위장하여 사용자 탐지 회피
- 권한 요청 거부 시 강제로 승인 요청 반복, 배터리 최적화 제외 권한 요구
- 디바이스 재부팅 후에도 백그라운드 지속 실행
- 모바일 접속 시 ‘더 나은 사용자 경험’을 이유로 APK 파일(indiapost.apk) 설치 유도
- 공격 특성 및 위협 인텔리전스
- ClickFix 전술은 최근 다양한 위협 행위자 및 사기 조직에서 증가 추세
- PowerShell 활용 및 APK 기반 공격을 하나의 웹사이트에서 디바이스별 분기 실행
- 도메인 등록, 문서 제작, 페이로드 서버 구축이 모두 정교하게 준비된 장기 계획형 캠페인
- APT36은 이전에도 교육기관, 군사기관, 외교기관 등 인도 기반 목표를 타깃으로 지속적인 공격 수행 이력 보유
- 결론
- 인도 공공기관 사칭 도메인(postindia[.]site 등) 접속 차단 및 DNS 블랙리스트 적용
- ClickFix 유형의 PDF 파일 탐지 및 PowerShell 실행 명령에 대한 사용자 행위 기반 EDR 탐지 설정 강화
- BYOD 환경에서 Android 앱 설치에 대한 APK 검사 및 앱 권한 정책 강화 필요
- APK 파일의 위장 행위 및 배터리 최적화 회피 여부 등 모바일 악성코드 행동 기반 탐지 체계 마련
- 인도 공공기관 대상 피싱 및 악성코드 유포 캠페인에 대한 IOC 공유 및 CERT 연계 대응 체계 강화
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Vroom by YouX, AWS S3 설정 오류로 2.7만 건 개인정보 유출 (0) | 2025.05.08 |
|---|---|
| PlayBoy LOCKER 랜섬웨어, Windows-NAS-ESXi 시스템 동시 타깃 (0) | 2025.05.08 |
| FamousSparrow APT 그룹, 호텔 및 엔지니어링 기업 대상 커스텀 백도어 캠페인 재개 (0) | 2025.05.08 |
| 15만 개 웹사이트 감염…중국계 도박 플랫폼 홍보 자바스크립트 공격 캠페인 분석 (1) | 2025.05.08 |
| Morphing Meerkat 피싱 키트: 114개 브랜드를 모방하는 신종 PhaaS 위협 분석 (0) | 2025.05.08 |