AZORult 트로잔, 표적 공격에 사용됨

지난주 Zscaler ThreatLabZ의 연구원들은 보고서를 발표했는데, 이 보고서는 중동 지역의 공급망 및 정부 부문을 대상으로 하는 대규모 캠페인에 대한 것입니다. 사이버 범죄자들은 타겟에 AZORult 트로이 목마를 감염시키는 아부다비 국제 석유 회사(ADNOC) 직원인 척하는 피싱 이메일을 보냈습니다.

캠페인 중동 지역의 조직을 대상으로

공격자들은 4월에 ADNOC에 의해 해지된 계약들을 미끼로 사용할 기회를 엿보았고, 한편으로는 협상이 활발히 진행 중이고 새로운 계약이 체결되고 있습니다.

이 캠페인은 7월에 시작되었으며, 석유 및 가스 부문의 다수의 공급망 관련 조직은 합법적으로 보이는 PDF 파일이 포함된 피싱 이메일을 받았으며, 이는 악성 ZIP 아카이브를 호스팅하는 합법적인 파일 공유 서비스 링크를 포함하고 있습니다. 아카이브에는 타겟 머신에 AZORult 트로이 목마를 다운로드하고 배포하는 드로퍼가 포함되어 있습니다.

AZORult는 4년 이상 알려진 상업용 멀웨어로, 이 캠페인을 알려진 위협 행위자에게 귀속시키기 어렵습니다. 이 트로이 목마는 정보 탈취 기능을 가지고 있으며 추가 도구를 설치하고 RDP 연결을 허용하는 숨겨진 관리자 계정을 생성할 수 있습니다.

AZORult 트로이 목마 감지

새로운 커뮤니티 위협 헌팅 Sigma 규칙이 Osman Demir 에 의해 공개되어 보안 솔루션이 타겟 캠페인 중 배포된 AZORult 트로이 목마의 흔적을 찾을 수 있게 합니다: https://tdm.socprime.com/tdm/info/haGwuszBAOO8/szlv_XQBR-lx4sDx1j_Y/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 방어 기피, 지속성

기술: 호스트의 지표 제거(T1070), 레지스트리 실행 키 / 시작 폴더(T1060)

AZORult 멀웨어 및 관련 드로퍼를 찾기 위한 더 많은 탐지 콘텐츠를 찾으십시오 위협 탐지 마켓플레이스.

SOC Prime TDM을 시도해 볼 준비가 되셨나요? 무료로 가입. 또는 위협 바운티 프로그램에 참가하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.