Executive Summary

최근 인도 정부 기관을 대상으로 한 TAG-140 캠페인을 조사하는 과정에서 Insikt Group은 DRAT 원격 액세스 트로이목마(RAT)의 변종이 발견되었으며, 이를 DRAT V2로 지정했습니다. TAG-140은 SideCopy와 중복되는 부분이 있습니다. SideCopy는 Transparent Tribe(APT36, ProjectM, 또는 MYTHIC LEOPARD로도 추적되는)의 하위 클러스터 또는 운영 관련 단체로 평가된 운영 하위 그룹입니다. TAG-140은 악성 소프트웨어 무기고와 배포 기술에서 지속적인 개선과 다양성을 지속적으로 보여왔습니다. 이번 최신 캠페인은 인도 국방부를 모방한 클론된 보도자료 포털을 통해 진행되었으며, 이는 악성 소프트웨어(멀웨어) 아키텍처와 명령 및 제어(C2) 기능 측면에서 미묘하지만 주목할 만한 변화를 보여줍니다.

DRAT V2의 배포는 TAG-140이 원격 액세스 도구를 지속적으로 개선하여, .NET 기반 DRAT 버전에서 Delphi로 컴파일된 새로운 변형으로 전환하고 있음을 보여줍니다. 두 버전 모두 CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore, ReverseRAT 등 이 그룹이 활용해 온 수많은 RAT 중 하나로, 멀웨어가 순환적으로 사용되는 패턴을 나타냅니다. DRAT V2는 맞춤형 TCP 기반 서버 주도 C2 프로토콜을 업데이트하고, 임의의 셸 명령 실행 및 향상된 파일 시스템 상호작용을 포함한 기능적 역량을 확장합니다.

감염 경로 분석 결과, 초기 접근은 ClickFix 스타일의 사회공학 유인물을 통해 이루어진 것으로 나타났습니다. 피해자들은 mshta.exe를 통해 악성 스크립트를 실행하도록 유인되었습니다. 이로 인해 TAG-140에서 이전에 사용된 BroaderAspect .NET 로더가 실행되었습니다. BroaderAspect은 지속성을 확립하고 이후 DRAT V2의 설치 및 실행을 수행합니다.

Insikt Group은 도메인 중복, 멀웨어 계통 및 인프라 특성을 근거로 이 활동이 TAG-140의 소행이라고 중간 수준의 신뢰도로 추정하고 있습니다. DRAT V2 기능의 향상으로 피해자 네트워크 전반에 걸쳐 맞춤형 익스플로잇 이후 활동 및 측면 이동에서 TAG-140의 능력이 커질 가능성이 있습니다. 따라서 이러한 공격의 출현은 위협 행위자 수법의 발전과 인도 국방 및 정부 기관에 대한 전략적 표적화를 보여주는 중요한 지표입니다.

주요 연구 결과

• DRAT V2는 임의의 쉘 명령어를 실행하기 위한 새로운 명령어(exec_this_comm)를 추가하여 포스트 익스플로잇 유연성을 강화했습니다.
• 이 멀웨어는 간단한 디코딩을 방해하기 위해 앞에 문자열을 추가한 Base64 인코딩을 사용하여 C2 IP 주소를 난독화합니다.
• 이전 버전과 달리, DRAT V2는 대부분의 명령 헤더를 평문으로 유지함으로써 문자열 난독화를 줄입니다. 아마도 은폐보다는 구문 분석의 신뢰성을 우선시하는 것 같습니다.
• DRAT V2는 맞춤형 서버 주도 TCP 기반 프로토콜을 업데이트하여 ASCII와 유니코드로 입력된 명령을 모두 지원하며, ASCII로만 응답합니다.
• DRAT V2는 고급 분석 방지 기술이 부족하고 기본적인 감염 및 지속성 방법에 의존하므로, 정적 및 행동 분석을 통해 탐지될 수 있습니다.

배경

TAG-140은 공개적으로 보고된 그룹 Sidecopy와 중첩되는 위협 행위자 그룹으로, 파키스탄 정부와 연관된 것으로 의심되는 고급 지속적 위협(APT) 그룹으로 평가되며, Transparent Tribe(APT36, ProjectM, 또는 MYTHIC Leopard로도 추적됨)의 하위 클러스터 또는 운영적 협력 단체로 추정됩니다. 2019년부터 활동해 온 TAG-140은 주로 인도 관련 기관을 표적으로 삼아왔으며, 최근 활동 범위가 전통적인 정부, 국방, 해군, 학술 분야를 넘어 해당 국가의 철도, 석유 및 가스, 외교 부처와 관련된 기관으로 확대되었습니다.

해당 그룹은 (1, 2, 3)에서 공격 기술의 일관된 진화를 보여주었습니다: 스피어 피싱 캠페인을 활용하고, HTML 애플리케이션(HTAs) 또는 Microsoft Installer(MSI) 패키지를 배포 수단으로 사용하며, 소프트웨어 취약점(예: WinRAR)을 악용하고, CurlBack, SparkRAT, AresRAT, Xeno RAT, AllaKore, ReverseRAT, DRAT 등 다양한 RAT(원격 액세스 툴)을 사용하는 등입니다. 그들의 감염 경로는 일반적으로 Windows와 Linux 환경 모두를 대상으로 합니다.

Insikt Group 최근 ClickFix 캠페인을 통해 인도 정부를 사칭한 유해 콘텐츠를 분석한 결과, 해당 콘텐츠는 TAG-140 위협 행위자에게 귀속되었습니다. TAG-140은 악성 도메인 이메일[.]gov[.]in[.]drdosurvey[.]info를 사용하여 인도 국방부의 공식 보도자료 포털을 모방한 가짜 웹사이트를 생성했습니다. 이 웹사이트는 합법적인 정부 웹사이트 mod[.]gov[.]in과 매우 유사합니다. (urlscan.io). 복제된 웹사이트는 정식 포털의 구조와 레이아웃을 복제했으며, 2023년 9월부터 2025년 4월까지의 보도자료를 목록으로 표시했습니다. 그러나 2025년 3월 링크만 활성화되어 있었습니다.

활성 상태인 2025년 3월 링크를 클릭하면 ClickFix 스타일의 사회공학 공격이 발생했습니다. Insikt Group TAG-140 Windows 감염 체인에 대한 추가 분석을 수행했으며, 이는 Seqrite Labs가 2024년 말에 보고한 TAG-140 활동 연구에서 확인된 감염 체인과 유사한 것으로 확인되었습니다. 감염 체인 분석(그림 2) 결과, 최종 페이로드가 DRAT의 새로운 Delphi 기반 변종(DRAT V2로 지칭됨)인 것으로 확인되었습니다. 이전에는 DRAT가 .NET으로 개발되었으며, 2023년에 처음으로 SideCopy 활동과 연관되어 확인되었습니다. 업데이트된 변종에는 새로운 명령어 기능과 약간 수정된 C2 프로토콜이 포함되어 있습니다.

1. 사용자는 아래 URL로 안내됩니다 (urlscan.io). TAG-140의 전술, 기술 및 절차(TTPs)를 기반으로 볼 때, 이 공격은 사용자가 링크를 클릭하도록 유인하는 스피어 피싱 이메일로 전달될 가능성이 높습니다. 사용자는 이후 "2025년 3월 출시" 링크를 클릭하도록 유인됩니다. Windows 컴퓨터에서 해당 링크를 클릭하면 사용자가 일관된 리소스 식별자(URI) /captcha/windows.php로 리디렉션됩니다.

2. 리디렉션된 웹사이트 (urlscan.io) "**공개 금지 - 공식 용도 전용 (FOUO)**"라는 경고 메시지를 표시하고 사용자에게 "계속"을 클릭하도록 요청합니다.

3. "계속"을 클릭하면 JavaScript가 실행되어 아래의 악성 명령어를 클립보드에 복사하고 사용자에게 명령 프롬프트에서 해당 명령어를 붙여넣고 실행하도록 안내합니다. 이 명령은 mshta.exe를 사용하여 원격 스크립트(index.php/sysinte.hta)를 다운로드하고 실행합니다. TAG-140의 인프라에서, _trade4wealth[.]in_.

4. index.php/sysinte.hta 파일을 실행하면 Seqrite Labs에서 처음 보고된 BroaderAspect 로더가 생성되고 실행됩니다. BroaderAspect은 다음과 같은 작업을 수행합니다:

a. 다음 URL에서 미끼 문서 설문조사.pdf를 다운로드하고 열기.

b. noway.bat라는 이름의 Windows 배치 파일을 생성하고 실행합니다. DRAT v2의 지속성을 설정하기 위해 Microsoft에서 정의한 자동 실행 위치에 레지스트리 항목을 추가하는 명령어를 포함합니다.

c. 다음 URL에서 DRAT V2 페이로드를 다운로드하고 압축을 해제합니다:

d. 다음 명령어로 DRAT V2를 실행합니다:

Insikt Group은 다음과 같은 특성을 근거로 이 활동이 TAG-140의 소행이라고 중간 정도의 신뢰도로 추정합니다.

1. 인도 국방부와 같은 인도 방위 기관을 사칭하고 표적으로 삼는 행위는 이미 확인된 TAG-140 표적과 일치합니다.
2. BroaderAspect 로더와 DRAT(두 변형 모두)의 사용은 TAG-140(1, 2)에서 독점적으로 사용되는 것으로 보이며, 이는 TAG-140의 TTP(기술, 전술, 절차)와 일치합니다.
3. 도메인 이메일[.]gov[.]in[.]drdosurvey[.]info 다른 APT36 공격(1, 2)과 중복되며 Namecheap을 호스팅 제공업체로 사용합니다. 우리는 여러 사례에서 TAG-140이 Namecheap을 주로 사용하며, GoDaddy와 Hostinger도 함께 사용하는 것을 확인했습니다 (1, 2, 3, 4).
4. DRAT V2 외에도 TAG-140은 이전에 오픈 소스 AllaKore RAT와 같은 Delphi 기반 멀웨어를 사용한 적이 있습니다.

기술 분석

DRAT V2는 Delphi로 개발된 경량 RAT이며, 2023년에 TAG-140의 소행으로 처음 확인된 이전의 .NET 기반 변형이 진화된 버전입니다. DRAT V2는 이전 버전에서 다음과 같은 몇 가지가 업데이트되었습니다.

• 맞춤형 TCP 기반 서버 주도 C2 프로토콜의 업데이트
• 추가로 문자열을 앞에 붙여 C2 인프라의 Base64 난독화를 강화
• 임의의 Windows 명령 실행을 위해 명령 헤더 업데이트 및 새로운 명령 추가

그림 3은 DRAT V2의 대략적인 개요를 보여줍니다.

DRAT V2는 TAG-140 운영자가 손상된 호스트와 다양한 상호작용을 수행할 수 있도록 하는 명령 세트를 지원합니다. 통신이 설정되면 멀웨어는 수동적으로 C2 서버의 지시를 기다립니다. 지원되는 작업에는 사용자 이름, 운영 체제 버전, 시스템 시간, 현재 작업 디렉터리 수집과 같은 시스템 정찰은 물론, 연결 유효성 검사, 로컬 파일 시스템 및 디렉터리 열거가 포함됩니다.

DRAT V2는 정찰을 넘어서, 표적 환경과의 보다 적극적인 상호작용을 용이하게 합니다. 호스트와 C2 인프라 간에 양방향 파일 전송이 가능해, 운영자가 추가 페이로드를 업로드하거나 데이터를 유출할 수 있습니다. 또한 로컬 파일과 임의의 Windows 셸 명령 실행을 지원하며, 출력을 C2로 반환합니다. 이러한 기능을 통해 TAG-140은 감염된 시스템에 대한 지속적이고 유연한 제어를 수행할 수 있으며, 보조 멀웨어 도구를 배포할 필요 없이 자동화된 대화형 익스플로잇 이후 활동을 수행할 수 있습니다. 그림 4에는 DRAT V2의 기능이 요약되어 있습니다.

DRAT V2 명령어

DRAT V2는 손상된 호스트에서 원격 제어 기능을 지원하기 위해 맞춤형 TCP, 텍스트 기반, 서버 주도 프로토콜인 명령 인터페이스를 계속 사용합니다. 정형화된 형식을 통해 명령 실행, 파일 조작, 시스템 정찰이 가능합니다.

DRAT V2 명령 프로토콜은 물결표(~)와 파이프(|) 문자를 구분 기호로 사용하여 구별됩니다. C2 인프라와 연결이 설정되면 멀웨어는 수동 상태로 들어가 서버로부터의 인바운드 명령을 기다립니다. 이 지침은 호스트 정찰, 파일 관리, 직접 실행 등의 기능을 포함하는 9개의 개별 명령 유형(표 1)으로 구성되어 있습니다. 각 명령은 결정론적 형식을 따르므로 운영자는 일관성과 낮은 오버헤드를 유지하며 침해 후 조치를 조율할 수 있습니다.

표 1: DRAT V2 명령어 (출처: Recorded Future)

이 명령 세트를 통해 TAG-140은 호스트 정찰, 데이터 준비, 잠재적 측면 이동을 포함한 다양한 익스플로잇 이후 목표를 지원할 수 있습니다. 특히 DRAT V2는 임의 명령 실행 지원을 통합하여 이전 버전의 기능을 확장했습니다. 부록 B는 매개변수를 포함한 각 명령에 대한 자세한 분석을 제공합니다.

그림 5는 감염된 호스트와 C2 간의 C2 통신 예시를 보여줍니다. 이 예시에서 C2 서버는 exec_this_comm~whoami 명령어를 전송합니다. 이 명령어는 감염된 호스트에게 whoami 명령어를 실행하도록 지시합니다. 감염된 호스트는 해당 명령어의 출력 결과를 반환합니다.

DRAT vs DRAT V2

이 비교 분석은 원래 DRAT와 DRAT V2 간의 기술적 및 운영적 차이점을 집중적으로 보여줍니다. 개발 플랫폼의 변화는 멀웨어의 컴파일, 실행 및 잠재적 탐지 방식에 영향을 미치는 중요한 아키텍처 전환을 나타냅니다. 두 변형 모두 경량 RAT와 유사한 핵심 기능을 유지하고 있지만, DRAT V2는 명령 구조, C2 난독화 기술 및 통신 프로토콜에 의미 있는 개선을 도입하면서 문자열 난독화 사용을 최소화한 특징이 있습니다. 이러한 조정은 TAG-140이 익스플로잇 이후 작전에서 회피, 모듈성, 유연성을 개선하기 위해 도구를 발전시키고자 지속적으로 노력하고 있음을 보여줍니다.

명령 헤더 변형

DRAT의 두 변종은 원격 관리에 유사한 명령어를 구현하지만, 각 버전은 명령어 헤더에 대한 고유한 명명 규칙을 사용합니다. 예를 들어, DRAT의 시스템 정보 명령어는 getInformitica로 표시되어 있지만, DRAT V2에서는 initial_infotonas를 사용합니다. DRAT V2는 새로운 명령어 exec_this_comm을 도입했습니다. 이 명령어는 감염된 호스트에서 임의의 쉘 명령어를 실행할 수 있도록 하며, 이는 원본 DRAT에는 없던 기능으로, 후속 공격 기능의 확장을 나타냅니다. 아래 비교 표(표 2)는 두 버전 간 요청 및 응답 헤더의 상세한 줄별 분석을 보여줍니다. 해당 표에서 녹색으로 강조 표시된 명령어 매핑은 두 변형 모두에서 기능적으로 유지된 명령어를 나타내며, 노란색으로 강조 표시된 항목은 DRAT V2에 독점적으로 추가된 새로운 기능입니다.

표 2: DRAT와 DRAT V2의 명령어 비교 (출처: Recorded Future)

C2 통신의 텍스트 형식

두 버전 모두 C2 상호작용에 텍스트 기반 통신 프로토콜을 활용합니다. 그러나 인코딩 요구 사항이 다릅니다. 기존 DRAT는 입력과 출력 모두에 유니코드를 요구한 반면, DRAT V2는 유니코드와 ASCII로 명령을 수신하지만 항상 ASCII로 응답합니다(그림 6).

시스템 정보의 차이

두 버전의 시스템 정보 응답에는 많은 유사점이 있지만, 몇 가지 차이점이 있습니다. 이 차이점에는 유니코드 텍스트, 다른 명령 요청 헤더, 그리고 win-def 대신 WinDefender가 사용된 점이 포함되며, 이 두 가지는 모두 하드코딩되어 있습니다. 마지막으로, 시스템 정보 응답에서 Windows 버전의 형식은 DRAT와 DRATV2 간에 다릅니다. DRAT는 단순히 레지스트리 키 Software\Microsoft\Windows NT\CurrentVersion\ProductName에서 값을 반환합니다. 반면 DRAT V2는 API 호출 GetVersionExW()를 사용하여 Windows 버전을 가져오고, 소스 코드에서 Base64로 인코딩된 사용자 정의 문자열을 반환합니다. 표 3은 두 명령어 간의 차이를 요약합니다.

표 3: DRAT 대 DRAT V2 시스템 정보 요청 및 응답 필드 (출처: Recorded Future)

C2 난독화의 차이점

두 DRAT 변형 모두에서 C2 정보는 Base64로 인코딩됩니다. DRAT는 C2 IP 주소를 직접 인코딩하지만, DRAT V2는 Base64 인코딩 전에 IP 주소 앞에 다음 문자열 중 하나를 추가하는 수정된 C2 난독화 접근 방식을 사용합니다.

• <><><><><><><><><><><>
• XXXXXXXXXXXXXXXXXXXXXX

이러한 사전 추가된 패턴은 기본적인 무결성 검사 역할을 하거나 분석가 및 자동화된 도구에 의한 단순한 디코딩을 방지하는 데 도움이 될 수 있습니다.

문자열 난독화

문자열 난독화 전략도 변형 간에 차이가 있습니다. DRAT는 대체 알고리즘을 사용하여 명령과 운영 문자열을 모두 인코딩하는 보다 광범위한 체계를 사용합니다. 반면 DRAT V2는 Windows 버전 및 C2 정보와 같은 문자열을 선택적으로 난독화하지만 명령 헤더는 평문으로 남겨둡니다. DRAT V2의 제한된 난독화 접근 방식은 은폐와 구문 분석 신뢰성 간의 절충을 의미할 수 있습니다.

탐지

완화 조치

• DRAT V2에서 C2 작업에 사용하는 일반적이지 않은 대상 포트(3232, 6372, 7771 등)에 대한 아웃바운드 TCP 연결을 차단하거나 모니터링합니다. 높은 번호의 포트를 대상으로 하는 확인된 프로토콜과 일치하지 않는 비정상적인 TCP 트래픽을 모니터링합니다.
• Base64, ASCII 또는 유니코드 형식으로 인코딩된 아웃바운드 명령 응답 및 인바운드 셸 명령 지시(부록 B)가 있는지 네트워크 트래픽을 검사합니다. 특히 비정상적인 포트에 설정된 TCP 세션 기반의 트래픽 디코딩 및 검사를 강조합니다.
• 이 보고서의 탐지 규칙을 사용하여 레지스트리 실행 키, 파일 기반 로더 및 인코딩된 C2 패턴을 통해 DRAT V2 실행 및 지속성을 식별합니다. 맞춤형 YARA 규칙을 배포하여 .NET 및 Delphi로 컴파일된 DRAT 샘플을 모두 탐지합니다.
• 원격 스크립트를 실행하거나 보조 페이로드를 실행하는 기능을 모니터링하기 위해 탐지 논리를 배포합니다. 이것은 감염 체인의 핵심 구성 요소로, 악성 HTA 스크립트가 BroaderAspect와 같은 DRAT 로더를 다운로드하고 실행합니다.
• 레지스트리 변경 이벤트를 모니터링하며, 특히 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 폴더와 관련된 이벤트에 주의하십시오. TAG-140은 C:\Users\Public</span> 경로에 위장된 파일 이름으로 DRAT V2를 실행하여 지속성을 유지합니다.

전망

TAG-140의 DRAT V2 배포는 광범위하고 상호 교환 가능한 원격 액세스 트로이 목마 제품군을 유지해 온 오랜 관행과 일치합니다. 이러한 지속적인 다각화는 속성, 탐지 및 모니터링 활동을 복잡하게 만듭니다. DRAT V2는 확실한 진화라기보다는 또 다른 모듈식 추가 기능으로 보입니다. 따라서 TAG-140이 시그니처를 모호하게 하고 운영의 유연성을 유지하기 위해 캠페인 전반에 걸쳐 RAT를 번갈아 사용할 가능성이 커졌습니다.

이러한 문제에도 불구하고 DRAT V2 감염 체인은 방어 회피 또는 분석 방지 기술을 제한적으로 사용합니다. 코드 난독화, 샌드박스 회피 또는 복잡한 로더 동작이 없어, 기본적인 원격 측정 및 정적 분석을 통해 조기에 탐지할 수 있는 가능성이 높습니다. 보안팀은 멀웨어 도구 및 감염 체인에 대한 실험이 지속될 것임을 예상하고 대비해야 합니다. 특정 멀웨어 제품군보다 스피어피싱 인프라, 로더 재사용, 행동 지표를 모니터링하는 것이 TAG-140 활동에 대한 가시성을 유지하는 데 매우 중요합니다.

부록 A: 침해 지표

부록 B: DRAT V2 명령 매개변수 및 응답

시스템 정보

initial_infotonas 명령어는 호스트 환경 세부 정보(사용자 이름, OS 버전, 타임스탬프, 작업 디렉토리 등)를 요청하여 시스템 수준 탐색을 시작합니다. 응답은 7개의 필드로 구성되어 있습니다.

에코/연결 테스트

sup 명령어는 침해된 호스트와의 활성 통신을 확인하는 데 사용됩니다.

볼륨 목록

lst_of_sys_drvs 명령어는 DRAT V2가 대상 컴퓨터에서 액세스 가능한 논리 드라이브를 열거합니다.

속성을 포함한 디렉터리 목록

here_are_dir_details 명령어는 디렉토리 및 파일의 구조화된 메타데이터(이름, 크기, 타임스탬프, 경로 등)를 가져옵니다. 특히, 이 구현에는 전체 경로가 후속 항목과 올바르게 연결되지 않는 결함이 포함되어 있어, 운영자 파싱에 영향을 미칠 수 있습니다.

파일 크기

filina_for_down 명령어는 지정된 파일의 바이트 크기를 가져오기 위해 사용됩니다.

파일 업로드

file_upl~ 명령어는 C2에서 대상 호스트로 파일 전송을 지원합니다. 이 명령어는 파일 경로와 크기를 모두 지정해야 하며, 이는 페이로드 단계별 배포 또는 보조 도구 배포를 용이하게 합니다.

파일 실행

this_filina_exec 명령어는 호스트 시스템에서 지정된 파일을 실행합니다. 이 기능은 추가 페이로드의 전송 또는 로컬 파일 시스템 내의 기존 바이너리 실행을 가능하게 합니다.

파일 다운로드

fil_down_confirmina 명령어는 피해 시스템에서 C2 서버로 파일을 유출하는 기능을 활성화합니다. 다른 응답과 달리 응답 헤더가 없으며, C2로 전송되는 것은 원본 파일 내용만입니다.

명령 실행

exec_this_comm 명령어는 감염된 호스트에서 임의의 쉘 명령어를 실행할 수 있도록 허용합니다. 이 기능은 상호작용형 작업에 상당한 유연성을 제공하며, 실시간 작업 할당 및 필요에 따른 사후 공격 활동을 가능하게 합니다.

전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.