Operation HollowQuill - Weaponized PDFs Deliver a Cobalt Strike Malware Into Gov & Military Networks
Operation HollowQuill - Weaponized PDFs Deliver a Cobalt Strike Malware Into Gov & Military Networks
In a recent revelation by SEQRITE Labs, a highly sophisticated cyber-espionage campaign, dubbed Operation HollowQuill, has been uncovered.
gbhackers.com
- 공격 개요
- SEQRITE Labs는 러시아 학계 및 군산복합체 네트워크를 표적으로 한 정교한 사이버 첩보 작전 Operation HollowQuill을 발견함
- BSTU “VOENMEKH”와 같은 핵심 연구기관을 표적으로 설정
- 무기화된 PDF를 통해 Cobalt Strike 비콘을 배포하여 원격 제어 및 정찰 기능 수행
- 초기 감염 체인 구성
- 악성 RAR 파일 내부에 .NET 기반 드로퍼 포함
- 정상 OneDrive 실행 파일
- Golang 기반 셸코드 로더
- 미끼용 PDF 파일 포함
- .NET 드로퍼 실행 시 OneDrive 프로세스에 코드 주입
- APC(Asynchronous Procedure Call) Injection을 사용하여 셸코드 메모리 내 실행
- 미끼 PDF 실행으로 사용자 의심 회피
- 악성 RAR 파일 내부에 .NET 기반 드로퍼 포함
- 미끼 문서 분석
- 러시아 과학기술 프로젝트 제안서 제출 지침을 가장한 문서로 위장
- BSTU “VOENMEKH” 총장 대행 A.E. Shashurin의 서명을 포함하여 신뢰도 높임
- 2026~2028년 예산 편성 연구 과제 안내로 위장하여 타겟 유도
- 최종 페이로드: Cobalt Strike 비콘
- 침해된 시스템에서 명령제어(C2) 서버와 HTTP GET 요청으로 통신
- C2 주소 예: phpsymfony[.]com
- 통신은 인코딩된 페이로드로 이루어지며, 감지 회피를 위한 시간기반 우회 기술 포함
- 메모리 기반 페이로드 주입 방식으로 디스크 흔적 최소화
- 인프라 및 TTP 분석
- 공격자 인프라에서 Go 빌드 ID 노출, C2 도메인 다중 ASN 간 회전 등 보안 실수 발견
- 이를 통해 유사 페이로드 및 악성 바이너리 추적 가능
- 합법적 프로세스(OneDrive 등) 악용하여 보안 시스템 우회
- 결론
- Operation HollowQuill은 정밀 타겟팅, 인메모리 실행, 신뢰성 높은 미끼 등 고도화된 APT 기법의 총합임
- 정부 및 군사 기관은 정교한 피싱 및 탐지 우회 기술에 대응하기 위해 강력한 보안 체계 필요
- 합법적 프로세스를 통한 공격 은닉에 대비한 행동 기반 탐지 기술의 적용이 필수적임
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 판결문 개인적 활용에 대한 대법원 판단과 개인정보보호법 적용 범위 (1) | 2025.05.11 |
|---|---|
| 삼성전자 독일 고객DB 유출 사고 분석 (0) | 2025.05.11 |
| Triton RAT의 Telegram 기반 원격 제어 및 정보 탈취 기법 분석 (0) | 2025.05.10 |
| Water Gamayun 그룹의 CVE-2025-26633 악용과 SilentPrism, DarkWisp 백도어 배포 분석 (3) | 2025.05.10 |
| Gamaredon 그룹의 우크라이나 대상 Remcos RAT 배포 캠페인 분석 (0) | 2025.05.10 |