Follow
코요테 뱅킹 트로이 목마 분석
코요테 뱅킹 트로이 목마는 초기의 매버릭 캠페인과 밀접한 관련이 있는 브라질 금융 악성코드의 진보된 진화를 나타냅니다. WhatsApp 다운로드로 위장된 악성 LNK 파일을 통해 전파되며, 다단계 PowerShell 감염 체인, 반사적 .NET 로더, 암호화된 지휘 및 제어 (C2) 통신을 사용합니다. 실행되면 지역 금융 및 암호화 서비스 웹사이트를 타겟으로 하여 자격 증명을 수집하고 거래를 조작합니다. 이 보고서는 보안 운영 센터(SOC)에 탐지할 수 있는 정보, 침해 지표(IOCs), 코요테 스타일 침입을 탐지, 제한, 시뮬레이션할 수 있는 방어 조치를 제공합니다.
코요테 악성코드 조사
보안 연구원들은 코요테 감염이 web.whatsapp.com을 통해 다운로드된 악성 ZIP 아카이브에서 시작된다는 것을 확인했습니다. 이 아카이브 안에는 바로 가기(LNK) 파일이 Base64 및 UTF-16LE로 인코딩된 중첩된 PowerShell 명령을 실행하여 스크립트를 zapgrande[.]com에서 가져옵니다. 초기 로더는 Microsoft Defender와 UAC를 비활성화한 후 .NET 반사적 로더를 배포하여 페이로드를 메모리 내에서 직접 실행합니다. 지속성은 시작 폴더에 배치된 배치 파일(“HealthApp-<GUID>.bat”)을 통해 유지됩니다. 악성코드는 브라질 로케일의 피해자를 확인하고, 브라우저를 열거하여 AES-CBC-GZIP 루틴을 통해 암호화된 은행 URL을 매칭합니다. 코드 중복 및 암호화 논리는 코요테를 매버릭 트로이 목마 패밀리와 연결합니다.
코요테 트로이 목마 완화 조치
SOC 팀은 코요테의 감염 체인에 대한 계층화된 방어 전략을 우선시해야 합니다. 조직은 WhatsApp 웹과 유사한 메신저 서비스에 대한 직원 접근을 제한하고, 피싱에 대한 저항력을 높이는 교육을 시행해야 합니다. 인코딩된 PowerShell 활동, 반사적 .NET 로딩 및 무단 배치 파일 생성을 식별할 수 있는 고급 엔드포인트 탐지 및 대응(EDR) 도구를 배포하십시오. zapgrande[.]com and sorvetenopote[.]com과 같은 알려진 C2 도메인을 차단하고, PowerShell 실행 정책을 엄격히 적용하며, 안티바이러스 서명과 행동 규칙을 지속적으로 업데이트하여 신종 변종을 식별하십시오.
코요테 은행 악성코드 대응
탐지되면, 사건 대응자는 즉시 영향을 받은 엔드포인트를 격리하고 Microsoft Defender for Endpoint 또는 유사한 SIEM 플랫폼에서 WhatsApp 다운로드에서 시작된 PowerShell 실행을 찾기 위한 위협 탐지 쿼리를 시작해야 합니다. 알려진 IOCs와 대응되는 LNK, ZIP, 배치 파일을 격리하거나 삭제하고 방화벽 및 DNS 계층에서 관련 C2 인프라를 차단하십시오. 분석가는 HealthApp-*.bat 지속성 아티팩트를 제거하고 손상된 은행 자격 증명을 재설정하며, 재정 플랫폼 전체에서 다단계 인증을 강화해야 합니다. 메모리 내 로더 및 2차 페이로드의 제거를 확인하기 위해 포괄적인 포렌식 검토가 필요합니다.
graph TB %% 클래스 정의 classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#ccffcc classDef operator fill:#ff9900 %% 노드 delivery_content_injection[“<b>행동</b> – <b>T1659 콘텐츠 주입</b><br/><b>설명</b>: WhatsApp Web을 통해 악성 ZIP/LNK 파일 전송”] class delivery_content_injection action phishing_service[“<b>행동</b> – <b>T1566.003 피싱: 서비스 기반 스피어피싱</b><br/><b>설명</b>: WhatsApp을 서비스로 사용하여 악성 페이로드 배포”] class phishing_service action user_execution[“<b>행동</b> – <b>T1204.002 사용자 실행</b><br/><b>설명</b>: 피해자가 바로가기 열기, 난독화된 cmd 트리거”] class user_execution action cmd_tool[“<b>도구</b> – <b>이름</b>: cmd.exe”] class cmd_tool tool powershell_interpreter[“<b>행동</b> – <b>T1059.001 PowerShell</b><br/><b>설명</b>: Base64 페이로드를 디코딩하고 명령 실행”] class powershell_interpreter action powershell_tool[“<b>도구</b> – <b>이름</b>: PowerShell”] class powershell_tool tool obfuscation[“<b>행동</b> – <b>T1027.014 난독화된 파일 또는 정보</b><br/><b>설명</b>: 폴리모픽 코드, 토큰 분할, 중첩 FOR 루프, Base64 및 UTF‑16LE”] class obfuscation action location_discovery[“<b>행동</b> – <b>T1614.001 시스템 위치 탐지</b><br/><b>설명</b>: 언어/지리 위치 확인, 브라질이 아니면 중단”] class location_discovery action sandbox_evasion[“<b>행동</b> – <b>T1497.002 가상화/샌드박스 회피</b><br/><b>설명</b>: 사용자 활동 기반 체크”] class sandbox_evasion action uac_bypass[“<b>행동</b> – <b>T1548.002 권한 상승 메커니즘 악용: 사용자 계정 컨트롤 우회</b><br/><b>설명</b>: Microsoft Defender 및 UAC 비활성화”] class uac_bypass action persistence_startup[“<b>행동</b> – <b>T1037.004 부팅 또는 로그온 초기화 스크립트: RC 스크립트</b><br/><b>설명</b>: 시작 폴더에 배치 파일 드롭”] class persistence_startup action batch_file[“<b>프로세스</b> – <b>이름</b>: HealthApp‑<GUID>.bat”] class batch_file process persistence_startup_item[“<b>행동</b> – <b>T1037.005 부팅 또는 로그온 초기화 스크립트: 시작 항목</b><br/><b>설명</b>: 배치가 주기적으로 C2와 통신”] class persistence_startup_item action process_discovery[“<b>행동</b> – <b>T1057 프로세스 탐지</b><br/><b>설명</b>: 브라우저 프로세스 열거”] class process_discovery action session_hijack[“<b>행동</b> – <b>T1539 웹 세션 쿠키 탈취</b> / <b>T1185 브라우저 세션 하이재킹</b><br/><b>설명</b>: 은행 사이트에서 쿠키 수집”] class session_hijack action web_c2_bidirectional[“<b>행동</b> – <b>T1102.002 웹 서비스: 양방향 통신</b><br/><b>설명</b>: zapgrande.com에 HTTPS API 호출”] class web_c2_bidirectional action web_c2_oneway[“<b>행동</b> – <b>T1102.003 웹 서비스: 단방향 통신</b><br/><b>설명</b>: 추가 페이로드 가져오기”] class web_c2_oneway action proxy_execution[“<b>행동</b> – <b>T1216 시스템 스크립트 프록시 실행</b> 및 <b>T1218 시스템 바이너리 프록시 실행</b><br/><b>설명</b>: PowerShell 및 cmd.exe가 프록시로 작동하여 메모리에서 원격 스크립트 실행”] class proxy_execution action masquerading[“<b>행동</b> – <b>T1036.001 가장화</b><br/><b>설명</b>: .lnk, .zip 등으로 위장, 잘못된 서명”] class masquerading action malware_payload[“<b>악성코드</b> – <b>이름</b>: 난독화된 PowerShell 로더”] class malware_payload malware %% 연산자 op_and_location((“AND”)) class op_and_location operator %% 연결 delivery_content_injection u002du002d>|전달| phishing_service phishing_service u002du002d>|이어짐| user_execution user_execution u002du002d>|실행| cmd_tool cmd_tool u002du002d>|시작| powershell_interpreter powershell_interpreter u002du002d>|사용| powershell_tool powershell_tool u002du002d>|실행| obfuscation obfuscation u002du002d>|활성화| location_discovery location_discovery u002du002d>|통과| op_and_location sandbox_evasion u002du002d>|관련| op_and_location op_and_location u002du002d>|허용| uac_bypass uac_bypass u002du002d>|설치| persistence_startup persistence_startup u002du002d>|생성| batch_file batch_file u002du002d>|호출| web_c2_bidirectional web_c2_bidirectional u002du002d>|가져오기| web_c2_oneway web_c2_oneway u002du002d>|제공| proxy_execution proxy_execution u002du002d>|실행| malware_payload malware_payload u002du002d>|드롭| persistence_startup_item persistence_startup_item u002du002d>|주기적으로 연락| web_c2_bidirectional process_discovery u002du002d>|브라우저 식별| session_hijack session_hijack u002du002d>|유출 via| web_c2_bidirectional proxy_execution u002du002d>|가장화| masquerading %% 클래스 적용 class delivery_content_injection action class phishing_service action class user_execution action class cmd_tool tool class powershell_interpreter action class powershell_tool tool class obfuscation action class location_discovery action class sandbox_evasion action class uac_bypass action class persistence_startup action class batch_file process class persistence_startup_item action class web_c2_bidirectional action class web_c2_oneway action class proxy_execution action class masquerading action class malware_payload malware class process_discovery action class session_hijack action
코요테 공격 흐름
시뮬레이션
경영 요약
테스트 케이스 ID: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
탐지 규칙 논리 요약: 대상 호스트 이름이 알려진 코요테 악성코드 C2 도메인(zapgrande.com 또는 sorvetenopote.com).
)과 일치하는 아웃바운드 네트워크 연결을 탐지합니다. 시그마
대상 보안 환경: OS: Windows 10/Server 2019 (또는 최신 버전) 로깅: Windows 네트워크 연결 로그(Windows 필터링 플랫폼, Sysmon NetworkConnect 이벤트, DNS 쿼리 로그) 보안 스택: Windows 로그를 수집할 수 있는 SIEM/EDR (예: Microsoft Sentinel, Splunk, Elastic, QRadar)
탄력성 점수 (1-5): 2
정당성: 규칙은 전적으로…
전체 시뮬레이션 보기