마스 스틸러 크립토재킹 멀웨어 탐지하기

2022년 3월 30일에 우크라이나 컴퓨터 긴급 대응 팀(CERT-UA)은 경고를 발령했습니다 우크라이나의 개인과 조직을 대상으로 하는 ‘Mars Stealer’라는 악성코드의 대량 확산에 대해. CERT-UA 연구에 따르면, Mars Stealer 공격의 배후 적들은 UAC-0041 이라는 해킹 그룹으로 추적됩니다 (AgentTesla와 XLoader).

Mars Stealer는 데이터 절도에 대한 비교적 접근성이 높은 진입점으로 전 세계 많은 나라들, 주로 캐나다, 인도네시아, 브라질, 유럽, 미국에서 개인과 사업체를 대상으로 활용되고 있습니다. 연구원들은 Google Ads 오용과 피싱 이메일이 이 정보탈취 툴을 배포하는 두 가지 가장 널리 퍼진 접근법이라고 지목합니다.

Mars Stealer 분석

C/ASM 기반의 정보 탈취 도구인 Mars Stealer는 해킹 포럼에서 $160의 평생 구독료로 구매할 수 있는 비교적 저렴한 악성코드입니다. 이 악성코드 계열은 Oski Stealer를 기반으로 제작되었으며, Oski Stealer는 2019년에 처음 등장했습니다. Mars Stealer뿐만 아니라 2019년의 악의적인 전신 역시다양한 전달 방법이 존재합니다. Mars Stealer와 같은 악성코드는 대개 압축된 실행 파일, 다운로드 링크 또는 피싱 이메일의 문서 페이로드로서 악성 스팸 캠페인과 사회 공학적 사기로 배포됩니다. 정보 탈취기를 전파하는 또 다른 방법은 가짜 웹사이트를 만들어 사용자를 유인하고 그들의 데이터를 탈취하는 것이며, 여기에는 감염된 기기에 대한 정보 수집, 브라우저 및 인증 데이터 및 파일, 암호화 지갑 플러그인, 다중 인증 프로그램 등을 포함하고, 공격자는 실행 파일을 다운로드하고 실행하거나 무단으로 스크린샷을 찍는 등의 행위를 할 수 있습니다.

As CERT-UA가 보고한 바에 따르면Mars Stealer는 스팸 이메일 캠페인을 통해 배포되었습니다. 피해자는 유인 아카이브가 포함된 스푸핑 이메일을 받았으며, 이를 열면 악성 실행 파일이 실행되어 대상 시스템에 감염이 확산되었습니다.

Mars Stealer 악성코드 사이버 공격을 탐지하기 위한 Sigma 기반 행동 콘텐츠

보안 실무자들은 SOC Prime 플랫폼에서 제공하는 선별된 Sigma 기반 탐지 규칙 세트를 사용하여 조직의 인프라 내에서 잠재적인 Mars Stealer 악성코드 계열을 탐지할 수 있습니다:

Mars Stealer 악성코드를 위한 탐지 콘텐츠

탐지 콘텐츠는 SOC Prime의 Detection as Code 플랫폼에 등록된 사용자만 접근 가능합니다.

MITRE ATT&CK® 컨텍스트

편의를 위해, Mars Stealer와 관련된 악성 활동을 탐지하기 위한 전용 Sigma 기반 콘텐츠는 해당 전술 및 기술을 다루는 최신 버전의 MITRE ATT&CK 프레임워크에 매핑되어 있습니다: