BazarLoader 맬웨어 탐지
목차:
전문가들은 표적을 감염시키기 위한 BazarLoader의 특이한 접근 방식에 대해 경고하고 있습니다 — 주로 랜섬웨어를 전달하는 데 사용되는 악명 높은 변종입니다. ‘BazarCall’로 명명된 해커 집단은 콜센터 기능을 악용하여 피해자에게 악성 페이로드를 다운로드하도록 속입니다. 이 캠페인은 최소한 2021년 2월부터 활성 상태였으며, 끊임없이 새로운 기법을 추가하여 그 악명을 높이고 있습니다.
BazarCall 공격 킬 체인
에 따르면 Palo Alto Networks의 조사에 따르면, 공격 체인은 일반적으로 서비스 지원 팀을 사칭하는 피싱 이메일로 시작합니다. 이 이메일은 체험 기간 종료와 차후 청구에 대해 피해자에게 경고하기 위해 가짜 알림을 전송합니다. 청구를 막기 위해 피해자는 도움 센터의 전화번호로 전화를 걸어야 한다고 요청받습니다. 피해자가 전화를 걸게 되면, 운영자는 그들을 가짜 회사 웹사이트로 이끌어 악성 Excel 문서를 다운로드하고 매크로를 활성화하도록 보장합니다. 그 결과 Windows 설치는 BazarLoader로 감염됩니다. 또한 보안 전문가들에 따르면 Cobalt Strike 침투 테스트 키트가 후속 악성코드로 자주 사용된다고 합니다. BazarCall 해커는 이를 활용하여 Active Directory 데이터베이스 자격 증명을 훔치고 침해된 네트워크 내 횡적 이동을 수행합니다.
이 악의적인 캠페인은 최근 Microsoft의 보안 인텔리전스 팀의 주목을 받았습니다. Office 365 사용자를 대상으로 하는 피싱 이메일의 증가를 관찰하면서, Microsoft 전문가들은 이제 BazarCall의 악성 활동을 조사하고 있습니다. 커뮤니티 활동을 강화하기 위해 전용 GitHub 페이지 를 시작하여 현재 진행 중인 캠페인의 세부 정보를 공유하고 있습니다.
BazarLoader란 무엇입니까?
BazarLoader 는 다양한 위협 행위자들이 대상으로 한 네트워크에 2차 페이로드를 투하하기 위해 자주 사용하는 인기 있는 악성 소프트웨어 변종입니다. C++로 작성되었으며, 최소한 2020년부터 악성 환경에서 활동하고 있습니다.
이 악성 소프트웨어는 대상 Windows 머신에 백도어 접근을 제공하고 해커가 후속 악성 변종을 발송하고, 정찰을 수행하고, 손상된 환경의 다른 노출된 장치를 악용할 수 있도록 합니다. 이전에는 Ruyk 유지 보수자들에 의해 최종 랜섬웨어 페이로드를 위한 다운로더로 사용되었습니다 .
최근 연구자들은 BazarLoad의 감염 방법에 대한 주요 발전을 관찰했습니다. 가짜 콜센터 접근 방식 외에도, 이 악성 소프트웨어는 Slack 및 BaseCamp와 같은 인기 있는 협업 도구를 통해 전달되는 것으로 관찰되었습니다. 모든 경우에서 BazarLoad는 Trickbot의 명령 및 제어 인프라를 운영에 활용합니다. 따라서 보안 실무자들은 Trickbot 유지 보수자들이 언급된 악의적 활동의 배후에 있을 것이라고 추측하고 있습니다.
BazarCall 캠페인 탐지
BazarCall 캠페인 과정에서 전달된 BazarLoader 악성 소프트웨어를 탐지하기 위해 열정적인 Threat Bounty 개발자 Osman Demir.
가 개발한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다
이 규칙은 다음 언어로 번역됩니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye, Securonix
EDR: SentinelOne, Carbon Black
MITRE ATT&CK:
전술: 실행, 방어 우회
기술: 명령 및 스크립팅 인터프리터 (T1059), 서명된 바이너리 프록시 실행 (T1218)
BazarLoader 악성 소프트웨어와 관련된 위협 탐지 마켓플레이스 콘텐츠의 전체 목록을 확인하려면 이 링크.
를 따라가시면 됩니다. Threat Detection Marketplace에 무료로 구독하시고 위협 탐지를 위한 완벽한 CI/CD 워크플로우를 지원하는 업계 최고의 Content-as-a-Service(CaaS) 플랫폼에 도달하세요. 저희 라이브러리는 직접 CVE 및 MITRE ATT&CK® 프레임워크에 매핑된 100K 이상의 자격을 갖춘, 크로스 벤더 및 크로스 툴 SOC 콘텐츠 항목을 집계합니다. Sigma 규칙을 직접 작성하는 것에 열정을 갖고 계십니까? 저희 위협 현상금 프로그램에 참여하셔서 당신의 기여에 대한 보상을 받으세요!
