코요테 뱅킹 멀웨어: SOC 위협 보고서
Detection stack
- AIDR
- Alert
- ETL
- Query
코요테 뱅킹 트로이 목마 분석
코요테 뱅킹 트로이 목마는 초기의 매버릭 캠페인과 밀접한 관련이 있는 브라질 금융 악성코드의 진보된 진화를 나타냅니다. WhatsApp 다운로드로 위장된 악성 LNK 파일을 통해 전파되며, 다단계 PowerShell 감염 체인, 반사적 .NET 로더, 암호화된 지휘 및 제어 (C2) 통신을 사용합니다. 실행되면 지역 금융 및 암호화 서비스 웹사이트를 타겟으로 하여 자격 증명을 수집하고 거래를 조작합니다. 이 보고서는 보안 운영 센터(SOC)에 탐지할 수 있는 정보, 침해 지표(IOCs), 코요테 스타일 침입을 탐지, 제한, 시뮬레이션할 수 있는 방어 조치를 제공합니다.
코요테 악성코드 조사
보안 연구원들은 코요테 감염이 web.whatsapp.com을 통해 다운로드된 악성 ZIP 아카이브에서 시작된다는 것을 확인했습니다. 이 아카이브 안에는 바로 가기(LNK) 파일이 Base64 및 UTF-16LE로 인코딩된 중첩된 PowerShell 명령을 실행하여 스크립트를 zapgrande[.]com에서 가져옵니다. 초기 로더는 Microsoft Defender와 UAC를 비활성화한 후 .NET 반사적 로더를 배포하여 페이로드를 메모리 내에서 직접 실행합니다. 지속성은 시작 폴더에 배치된 배치 파일(“HealthApp-<GUID>.bat”)을 통해 유지됩니다. 악성코드는 브라질 로케일의 피해자를 확인하고, 브라우저를 열거하여 AES-CBC-GZIP 루틴을 통해 암호화된 은행 URL을 매칭합니다. 코드 중복 및 암호화 논리는 코요테를 매버릭 트로이 목마 패밀리와 연결합니다.
코요테 트로이 목마 완화 조치
SOC 팀은 코요테의 감염 체인에 대한 계층화된 방어 전략을 우선시해야 합니다. 조직은 WhatsApp 웹과 유사한 메신저 서비스에 대한 직원 접근을 제한하고, 피싱에 대한 저항력을 높이는 교육을 시행해야 합니다. 인코딩된 PowerShell 활동, 반사적 .NET 로딩 및 무단 배치 파일 생성을 식별할 수 있는 고급 엔드포인트 탐지 및 대응(EDR) 도구를 배포하십시오. zapgrande[.]com and sorvetenopote[.]com과 같은 알려진 C2 도메인을 차단하고, PowerShell 실행 정책을 엄격히 적용하며, 안티바이러스 서명과 행동 규칙을 지속적으로 업데이트하여 신종 변종을 식별하십시오.
코요테 은행 악성코드 대응
탐지되면, 사건 대응자는 즉시 영향을 받은 엔드포인트를 격리하고 Microsoft Defender for Endpoint 또는 유사한 SIEM 플랫폼에서 WhatsApp 다운로드에서 시작된 PowerShell 실행을 찾기 위한 위협 탐지 쿼리를 시작해야 합니다. 알려진 IOCs와 대응되는 LNK, ZIP, 배치 파일을 격리하거나 삭제하고 방화벽 및 DNS 계층에서 관련 C2 인프라를 차단하십시오. 분석가는 HealthApp-*.bat 지속성 아티팩트를 제거하고 손상된 은행 자격 증명을 재설정하며, 재정 플랫폼 전체에서 다단계 인증을 강화해야 합니다. 메모리 내 로더 및 2차 페이로드의 제거를 확인하기 위해 포괄적인 포렌식 검토가 필요합니다.
코요테 공격 흐름
시뮬레이션
경영 요약
테스트 케이스 ID: TC-20251112-A7Z3K
TTPs: T1102.001, T1102
탐지 규칙 논리 요약: 대상 호스트 이름이 알려진 코요테 악성코드 C2 도메인(zapgrande.com 또는 sorvetenopote.com).
)과 일치하는 아웃바운드 네트워크 연결을 탐지합니다. 시그마
대상 보안 환경: OS: Windows 10/Server 2019 (또는 최신 버전) 로깅: Windows 네트워크 연결 로그(Windows 필터링 플랫폼, Sysmon NetworkConnect 이벤트, DNS 쿼리 로그) 보안 스택: Windows 로그를 수집할 수 있는 SIEM/EDR (예: Microsoft Sentinel, Splunk, Elastic, QRadar)
탄력성 점수 (1-5): 2
정당성: 규칙은 전적으로…
전체 시뮬레이션 보기