BlueNoroff 그룹 활동 탐지: 위협 행위자는 Windows 웹의 표시(MoTW) 보호 우회를 위한 새로운 방법을 적용

BlueNoroff는 더 큰 그룹의 일부인 Lazarus Group으로, 금융적 이익을 목표로 하는 해킹 집단입니다. 암호화폐 도난으로 잘 알려진 이 그룹은 초기 침투를 위해 Word 문서 및 LNK 파일을 주로 사용하며, 최근에는 새로운 적법 방법을 활용하고 있습니다. 최근 공격에서는 BlueNoroff가 악성코드 배포를 위한 새로운 파일 형식을 실험하여 위협 행위자가 Windows의 웹 마크(MoTW) 보안 기능을 회피하게 했습니다.

BlueNoroff의 Windows MoTW 보호 우회 악성 시도 탐지하기

강력한 금전적 동기와 일련의 성공적인 사이버 공격에 힘입어 BlueNoroff APT는 새로운 적법 방법을 실험하여 공격 능력을 확장하고 있습니다. SOC Prime의 Detection as Code 플랫폼은 사이버 수비수가 사이버 위협 환경의 최신 상태를 유지하고 새로운 위협에 선제적으로 방어할 수 있도록 돕는데 집중되어 있습니다. 2023년 초, 이 플랫폼은 BlueNoroff 그룹의 악의적 활동을 탐지하기 위한 정제된 Sigma 규칙 세트를 출시했습니다. 이 규칙은 최근 사이버 공격에서 Windows MoTW 보안 기능을 회피하려는 시도를 포함하여 더욱 발전된 기술을 적용했습니다. 아래 링크를 따라가 이러한 새로운 탐지들을 즉시 확인하십시오. 이는 MITRE ATT&CK® 로 태그되고, 뛰어난 위협 현상금 개발자인 Aytek Aytemur and 와와

가 작성했습니다. 최근 공격에서 BlueNoroff 그룹이 적용한 새로운 방법을 탐지하는 Sigma 규칙

The Aytek Aytemur의 Sigma 규칙은 rundll32의 의심스러운 프로세스를 탐지하여 marcoor.dll을 실행합니다. 이는 BlueNoroff 그룹의 적대적 활동과 관련된 악성 파일입니다. 이 탐지는 명령 및 스크립팅 인터프리터(T1059)와 사용자 실행(T1204)을 주요 기술로 사용하는 실행 전략, 시스템 바이너리 프록시 실행(T1218)을 사용하는 방어 회피 전략을 다룹니다.

위에 언급된 목록의 Nattatorn Chuensangarun의 두 가지 새로운 Sigma 규칙도 명령 및 스크립팅 인터프리터(T1059) 기술에 의해 나타나는 실행 전략을 다룹니다. 전용 규칙 세트 내 모든 탐지 알고리즘은 업계 최고의 SIEM, EDR, XDR 기술과 호환됩니다. 

탐지 엔지니어링 기술을 더욱 발전시키고자 하는 사이버 보안 연구자와 실무자들은 MITRE ATT&CK으로 태그된 자신의 Sigma 규칙을 기여함으로써 집단적인 사이버 방어의 힘을 활용할 수 있습니다. 우리의 Threat Bounty Program 에 참여하여 ATT&CK와 결합된 Sigma의 위력을 보고, 미래의 이력서를 작성하고, 기여에 대해 반복적인 금전적 보상을 받으십시오. 

계속 변화하는 위협 환경의 맥박을 유지하고 BlueNoroff 그룹의 활동에 기인한 악성 시퀀스를 시기 적절하게 식별하려면 탐지 확인 버튼을 클릭하십시오. 이는 관련 메타데이터로 풍부해진 포괄적인 Sigma 규칙 목록으로 즉시 안내하여 사이버 위협 조사를 가속화하고 사이버 방어 능력을 향상시킵니다. 

탐지 확인

BlueNoroff 그룹의 적대적 활동: 최근 공격에서 관찰된 행동 패턴 분석

유명한 그룹의 하위 그룹인, Lazarus Group, 일명 APT38,는 금융 기관을 주로 표적으로 삼아 암호화폐를 훔치려고 하는 해킹 집단으로 사이버 위협 분야에서 인정받고 있습니다. 고전적인 BlueNoroff 전략은 금융 기관을 손상시키고 회사의 암호화폐 전송을 가로채기 위한 피싱 공격 벡터의 사용을 포함합니다. 

사이버 보안 연구자들은 최근 그룹의 적대적 도구 키트에서 새로운 악성 변종을 채택하고 보다 효율적인 악성코드 전달을 위한 새로운 파일 유형의 사용이 관찰되었습니다. BlueNoroff는 벤처 캐피털 조직과 은행의 70개 이상의 가짜 도메인을 만들어 회사 직원들을 감염 체인을 트리거하도록 유혹하여 해커들이 금융 수익을 얻을 수 있게 했습니다. 가짜 도메인의 대부분은 일본의 금융 기관을 식별하는 것처럼 가장되어 있으며, 이는 해당 산업 부문에서 일본 조직을 손상시키려는 해커들의 관심이 증대하고 있음을 나타냅니다.

최근 공격에서 BlueNoroff는 Windows 보안 기능을 우회하고 사이버 방어 활동을 방해하는 효율성을 높이기 위해 보다 정교한 적대적 전략을 실험하고 있습니다. 위협 행위자가 Visual Basic 및 Windows 배치와 같은 여러 스크립트를 활용하고 ISO 및 VHD 파일 형식을 적용하여 감염을 확산시키는 것으로 관찰되었습니다. 그룹은 이미지 파일을 활용하여 Windows MoTW 플래그를 우회하고 탐지를 피했습니다. 이 기능은 웹에서 다운로드된 알 수 없거나 의심스러운 파일을 열려고 할 때 경고 메시지를 표시하는 Windows 보안 기능입니다. 

진보된 조직은 사이버 방어 기능을 완전히 장착하고 악명 높은 Lazarus Group의 모든 규모의 공격을 효율적으로 방해하기 위해 선제적인 사이버 보안 전략을 채택하고 있습니다. 무료로 Lazarus APT 공격을 탐지하거나 관련 TTP를 다루는 2,400개 이상의 탐지에서 더 많은 혜택을 받을 수 있습니다. 다음에서 필요에 따라 사용할 수 있습니다 445 Sigma 규칙 . https://my.socprime.com/pricing/.