DarkGate 악성코드 탐지: 공격자들이 Microsoft Excel 파일을 악용하여 유해 소프트웨어 패키지를 유포

방어자들은 다크게이트 멀웨어 캠페인을 관찰해 왔으며, 공격자들은 Microsoft Excel 파일의 취약점을 이용해 공개적으로 접근 가능한 SMB 파일 공유에서 악성 샘플을 배포했습니다. 다크게이트는 악명 높은 QakBot 가 2023년 여름 말에 해체된 후 빈 공간을 메울 가능성이 있는 매우 적응력 있는 악성 변종을 나타냅니다.

DarkGate 멀웨어 탐지 

2024년에는 사이버 공격이 전 세계적으로 급증하며, 조직들은 2024년 1분기 주당 평균 1,308건의 공격을 경험했습니다. 이는 2023년 4분기 대비 28% 증가한 수치이며, 전년도 같은 기간에 비해 5% 증가한 것입니다. 끊임없이 증가하는 공격 표면과 지속적으로 정교해지는 감염 방법을 고려할 때 가능한 침입의 사전 탐지는 도전적인 과제가 됩니다.

보안 전문가들은 최신 위협을 파악하고 공격 초기 단계에서 이를 식별하기 위해 SOC Prime의 완벽한 제품군 에 의존해 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 탐지 스택 검증을 수행할 수 있습니다. 

아래의 탐지 탐색 버튼을 클릭하여 DarkGate 멀웨어 탐지에 특화된 선별된 탐지 스택에 액세스하십시오. 모든 규칙은 30개 이상의 SIEM, EDR, Data Lake 기술과 호환되며 MITRE ATT&CK® 프레임워크에 매핑됩니다. 또한, 탐지는 광범위한 메타데이터, CTI 참조, 공격 타임라인, 대응 추천 및 기타 관련 세부 정보를 포함하여 위협 조사 과정을 간소화합니다. 

탐지 탐색

DarkGate 멀웨어 분석

DarkGate는 2018년에 사이버 위협 영역에 등장한 멀웨어 계열입니다. 처음에는 고급 C2 인프라를 운영했으며, 이후에는 멀웨어-애즈-서비스(MaaS) 제공으로 진화했습니다. 

DarkGate는 2021년까지 저조하게 활동했습니다. Palo Alto Networks의 Unit 42 연구진은 2023년 초가을부터 DarkGate 활동의 눈에 띄는 증가를 관찰했으며, 이는 다국적 정부의 중단 및 QakBot 인프라의 해체 직후입니다. DarkGate 캠페인은 AutoIt에서 AutoHotkey 스크립트로 전환하여 멀웨어를 전파했습니다. 2024년 초에, DarkGate는 더 정교한 기능을 가진 여섯 번째 주요 버전을 출시했습니다.

2023년 8월부터 방어자들은 Teams 링크를 통해 DarkGate 설치 프로그램 다운로드를 유도하거나, 무기화된 이메일 및 PDF 첨부 파일에 악성 ZIP 아카이브 링크를 첨부하는 전술, DLL 사이드 로딩, HTML 파일 취약점 악용, 악성 광고 활용 등 다양한 방법으로 DarkGate 멀웨어를 배포하는 일련의 악성 캠페인을 관찰했습니다.

2024년 봄, Unit 42 팀은 새로운 공격 캠페인을 발견했으며, 이 캠페인은 Microsoft Excel을 무기화하고 공개 Samba 파일 공유가 열린 서버를 활용하여 DarkGate 멀웨어를 배포하는 파일을 호스팅했습니다. 처음에는 미국을 목표로 했으나, 캠페인은 점차 유럽과 아시아 일부로 확대되었습니다. 감염 체인은 Excel 파일의 Open 버튼에 연결된 하이퍼링크된 객체를 클릭하면 아카이브에 위치한 URL에서 콘텐츠를 가져와 실행함으로써 시작됩니다. 이 URL은 VBS 파일을 호스팅하는 공개 Samba/SMB 공유로 연결됩니다. 공격이 진행됨에 따라 공격자들은 무기화된 Samba 공유에서 JS 파일을 배포하기 시작했습니다. 

특히, 감염 흐름에 사용된 PowerShell 스크립트는 공격자가 레이더 아래에 머물 수 있도록 탐지를 회피하는 기술을 시도합니다. 다크게이트 멀웨어는 또한 CPU 데이터를 확인하고 대상 시스템에서 다른 안티멀웨어 프로그램을 탐색합니다. 탐지 메커니즘을 방해하고 안티멀웨어 소프트웨어를 비활성화할 수 있습니다. DarkGate는 기능이 발전함에 따라 최신 업데이트에 Windows Defender 및 SentinelOne과 같은 안티멀웨어 소프트웨어를 우회하기 위한 새로운 체크셋을 포함하고 있습니다. 

DarkGate의 다양한 공격 벡터와 완전한 MaaS로의 진화, 그 공격 도구의 지속적인 진보, 현대 보안 프로토콜을 우회하려는 증가하는 노력은 예방 방어를 강화하여 감염을 사전에 방지할 필요성을 강조합니다. 글로벌 위협 인텔리전스, 크라우드소싱, 제로 트러스트, AI를 기반으로 한 SOC Prime의 플랫폼 을 신뢰하여 침입을 시기적절하게 식별하고 초기 단계에서 사이버 공격을 예방하십시오.