바바데다 크라이프터 탐지

[post-views]
12월 02, 2021 · 3 분 읽기
바바데다 크라이프터 탐지

Babadeda를 만나보세요. 새로운 악명 높은 크립터가 위협 행위자의 무기고에 추가되었습니다. 이 악성 소프트웨어는 2021년 5월부터 적극적으로 사용되어 보안 보호를 우회하고 다양한 위협을 무고한 피해자에게 은밀하게 전달하고 있습니다. 여러 인포스틸러 및 원격 접근 트로이 목마(RAT)가 Babadeda의 도움으로 배포되었습니다. 또한 LockBit 관리자는 랜섬웨어 페이로드를 난독화하고 성공적인 감염으로 진행하기 위한 신뢰할 수 있는 방법으로도 이를 사용했습니다.

Babadeda Crypter란 무엇인가?

Babadeda는 크립터 계열의 새로운 샘플로 위협 행위자가 악성 샘플을 암호화하고 난독화할 수 있게 해줍니다. 이 난독화는 악성 코드가 대부분의 안티바이러스 보호를 우회하면서 경고를 발생시키지 않도록 합니다. 연구원들의 분석에 따르면, Babadeda는 매우 낮은 감지율을 보이는 정교하고 복잡한 난독화를 활용합니다.

암호화폐, NFT, DEFI 커뮤니티를 겨냥한 공격

Morphisec의 보안 연구원들은 야생에서 Babadeda 샘플을 처음으로 포착했습니다 보고 한 이 대규모 캠페인은 암호화폐 커뮤니티를 대상으로 하고 있습니다. 특히, Babadeda 행위자들은 성장하는 NFT 및 암호화 게임 시장을 악용해 부유한 제휴사를 표적으로 삼아 암호화폐 지갑 및 NFT 자산에 대한 인증 정보를 탈취합니다.

공격 체인은 NFT 드롭이나 암호화폐 핫뉴스에 전념하는 Discord 채널에서 시작됩니다. 해커들은 논의에 참여하고 잠재적인 피해자들에게 비공식 메시지를 보내 새로운 게임이나 애플리케이션을 다운로드하라고 유도합니다. 일부 경우에는 Babadeda 행위자가 ‘Mines of Dalarna’와 같은 기존 블록체인 프로젝트로 사칭하기도 합니다.

피해자가 악성 링크를 따라가도록 속는 경우, 그들은 겉으로 보이는 암호화 게임을 제공하는 하얀 사이트로 안내됩니다. ‘지금 다운로드’ 버튼을 클릭하면 Babadeda 크립터를 포함한 악성 설치자가 다운로드되어 백그라운드에서 실행됩니다. 설치자는 이어지는 감염 단계를 트리거하여 Remcos 또는 BitRAT의 암호화된 페이로드를 내립니다.

Babadeda Crypter 감지

가능한 Babadeda 감염을 감지하고 침입에 대처하려면 보안 전문가들은 SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 제공되는 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

Babadeda Crypter가 암호화폐 NFT 및 DeFi 플랫폼(프록시를 통해)을 대상으로 합니다

이 감지는 우리 Threat Bounty 개발자인 Sittikorn Sangrattanapitak에 의해 작성되었으며, 다음 SIEM & XDR 플랫폼에 대한 번역이 제공됩니다: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA Netwitness, Apache Kafka ksqlDB, Qualys, Open Distro, Securonix.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 따라 초기 접근 전술과 피싱(T1566) 및 난독화된 파일 또는 정보(T1027) 기술을 다룹니다.

BABADEDA Crypter가 암호화폐, NFT, DeFi 커뮤니티를 겨냥합니다

이 감지는 우리 Threat Bounty 개발자인 Nattatorn Chuensangarun에 의해 제공되었으며, 다음 SIEM & XDR 플랫폼에 대한 번역이 제공됩니다: Azure Sentinel, Splunk, ArcSight, Chronicle Security, ELK Stack, Sumo Logic, QRadar, Humio, Microsoft Defender ATP, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA Netwiteness, Apache Kafka ksqlDB, Open Distro, Securonix.

이 규칙은 MITRE ATT&CK® 프레임워크 v.10에 따라 방어 회피 전술 및 프로세스 인젝션(T1055) 기술을 다룹니다.

SIEM, EDR, NTDR 솔루션과 호환되는 최고의 SOC 콘텐츠를 찾고 계십니까? SOC Prime의 Detection as Code 플랫폼을 탐색하여 맞춤형 사용 사례를 해결하고 위협 발견 및 탐색을 강화하며 팀의 진행 상황에 대한 완전한 시각화를 얻으십시오. 위협 탐색에 열정이 있고 업계 최초의 SOC 콘텐츠 라이브러리에 기여하고 싶으십니까? 우리 Threat Bounty 프로그램에 참여하세요!

플랫폼으로 이동 Threat Bounty에 참여하기

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
블로그, 최신 위협 — 3 분 읽기
XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
Veronika Telychko
Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인
블로그, 최신 위협 — 3 분 읽기
Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인
Veronika Telychko
TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads
블로그, 최신 위협 — 4 분 읽기
TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads
Veronika Telychko