DarkGate 멀웨어 공격 탐지: Microsoft Teams를 통한 보이스 피싱으로 멀웨어 유포

연구원들은 음성 피싱(vishing)을 사용하여 배포하는 새로운 악성 캠페인을 발견했습니다. DarkGate 멀웨어. 이 공격에서 공격자들은 Microsoft Teams 통화에서 알려진 클라이언트로 가장하여 피해자들이 AnyDesk 를 원격 액세스 용도로 다운로드하도록 속이고 추가적으로 멀웨어를 배포했습니다.

DarkGate 멀웨어 공격 탐지 

2024년 초여름, vishing 기법 이 원격 유틸리티를 포함한 공격 도구의 배포에 이어 사이버 공격에 사용되었습니다. 12월에 협박자들은 vishing을 통한 가장을 이용하여 DarkGate 멀웨어 감염을 목표로 다시 한번 공격을 시도했습니다. 공동 사이버 방어를 위한 SOC Prime 플랫폼은 보안 팀이 어떤 규모와 정교함의 사이버 위협에도 대처할 수 있도록 최첨단 기술과 솔루션을 제공합니다.

탐색하려면 ‘탐지’를 확인하여 DarkGate 멀웨어 탐지를 위한 Sigma 규칙의 전체 컬렉션을 확인하세요. 실질적인 CTI, MITRE ATT&CK 정렬, 및 30개 이상의 보안 분석 플랫폼에 맞는 쿼리 언어 형식으로 탐지 코드를 변환하는 자동화된 기능을 활용하세요. to drill down to the full collection of Sigma rules for DarkGate malware detection. Gain from actionable CTI, MITRE ATT&CK alignment, and automated capabilities to covert detection code into the required query language format matching 30+ security analytics platforms. 

‘탐지’를 확인하여 DarkGate 멀웨어 탐지를 위한 Sigma 규칙의 전체 컬렉션을 확인하세요. 실질적인 CTI, MITRE ATT&CK 정렬, 및 30개 이상의 보안 분석 플랫폼에 맞는 쿼리 언어 형식으로 탐지 코드를 변환하는 자동화된 기능을 활용하세요.

DarkGate 멀웨어 분석: Vishing 공격 

Trend Micro 연구원 은 공격자들이 Microsoft Teams 통화를 통해 vishing을 적용하여 사용자의 클라이언트로 가장하고 목표 시스템에 원격 액세스를 얻는 방식의 사이버 보안 사건을 조사했습니다. 공격자들은 또한 잠재적 피해자들을 AnyDesk 원격 데스크톱 소프트웨어를 다운로드하도록 유도했고, 이를 통해 DarkGate 멀웨어를 배포했습니다. AutoIt 스크립트를 통해 전달된 DarkGate는 시스템에 대한 원격 제어를 얻고, 공격 명령을 실행하며, 시스템 데이터를 수집하고, C2 서버에 연결할 수 있게 했습니다.

초기 공격 단계에서 해커들은 사회 공학을 활용하여 시스템에 대한 접근을 얻었습니다. 피해자는 처음에 수천 건의 이메일을 받은 후 외부 공급업체로 위장한 Microsoft Teams 통화를 받았습니다. 공격자들은 목표 사용자들을 Microsoft 원격 지원 앱 설치로 속이는 데 실패했으나, 브라우저를 통해 AnyDesk를 다운로드하고 자격 증명을 입력하도록 지시하는 데 성공했습니다. 

AnyDesk를 설치한 후, 공격자들은 손상된 시스템 내에서 높은 권한으로 운영할 수 있었고 Trojan.AutoIt.DARKGATE.D 페이로드를 포함한 여러 의심스러운 파일들을 드롭했습니다. 암호화된 AutoIt 페이로드 스크립트.a3x는 메모리 내에서 셸코드로 자체를 복호화하고, MicrosoftEdgeUpdateCore.exe와 같은 합법적인 프로세스에 주입되었습니다. 이 프로세스는 추가 악성 샘플을 로드하고 실행하기 위한 DarkGate A3x 스크립트를 로드하고 실행하기 위해 프록시로 사용되었습니다.

공격자들은 또한 피해자의 컴퓨터에 스텔스 파일과 레지스트리 항목을 생성하여 지속성을 구축하고 탐지를 우회했습니다. 그들은 또한 DLL 사이드로딩을 사용하여 감시를 피했습니다. 공격은 목표에 도달하기 전에 종료되었고, 데이터 탈취의 증거는 발견되지 않았습니다. 

추천하는 DarkGate 멀웨어 완화 조치로는 팀들에게 제삼자 기술 지원 제공업체를 신중하게 검토하고, 원격 시스템 접근을 허용하기 전에 벤더 소속을 확인하며, 원격 액세스 도구의 보안과 평판을 평가하기 위한 클라우드 심사 프로세스를 확립하고, 승인된 도구를 화이트리스트로 등록하고 의심스러운 도구는 차단하며, 추가적인 보안 보호 계층을 위해 MFA를 구현할 것을 권장합니다. 

다단계 DarkGate 멀웨어 공격 흐름은 사회 공학 공격에 대한 강력한 보안 조치의 중요성과 증가된 사이버 경계의 중요성을 강조합니다. vishing 및 기타 적대적 기술을 사용하는 악성 캠페인의 증가하는 빈도와 다양성을 해결하기 위해, 기업은 SOC Prime의 전체 제품군 에 의존할 수 있으며, AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 제공하여 최고의 사이버 방어를 보장합니다.