META 정보 탈취기 탐지
목차:
새로운 정보 탈취 악성코드가 Mars Stealer 와 BlackGuard의 전철을 따릅니다. 이 악성코드는 월 $125 또는 평생 구독권 $1,000에 제공됩니다. 다크넷 마켓에서 META Stealer는 업그레이드된 RedLine Stealer로 광고되고 있으며, 이는 2020년 처음 공개되었습니다.
META 정보 탈취 탐지
귀사의 인프라를 META Stealer 공격으로부터 보호하기 위해, 우리 숙련된 위협 현상금 개발자인 Kaan Yeniyol이 개발한 Sigma 규칙을 다운로드할 수 있습니다.
경고: 착취 가능한 MetaStealer 악성코드(2022년 4월) 레지스트리 키의 탐지를 위한 지속성 (registry_event를 통해).
이 탐지는 다음 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, Carbon Black, ArcSight, QRadar, Devo, FireEye, LogPoint, Graylog, 정규표현식 Grep, RSA NetWitness, Microsoft Defender ATP, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Open Distro, 및 Securonix.
이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 레지스트리 수정을 주요 기술(T1112)로 방어 회피 전술을 다룹니다.
SOC Prime은 다음의 러시아 지원 사이버 공격 에 대한 보안 전문가들이 단결할 것을 촉구합니다. SOC Prime의 빠른 사냥 모듈은 러시아 침략과 관련된 위협 사냥 컨텐츠의 광범위한 컬렉션을 통해 효율적인 웹 검색을 가능하게 합니다. 관련 위협을 무료로 검색할 수 있는 링크는 다음과 같습니다:
러시아 발 위협을 탐지하기 위한 전체 사냥 컨텐츠 컬렉션
업계 리더와 연결하고 자신만의 컨텐츠를 개발하고 싶으신가요? SOC Prime의 크라우드소싱 이니셔티브에 컨텐츠 기고자로 참여하여 전 세계 사이버 보안 커뮤니티와 함께 Sigma 및 YARA 규칙을 공유하고 전 세계 협력적 사이버 방어를 구축하세요.
META 정보 탈취 분석
새로운 정보 탈취 악성코드 변종이 보안 연구자이자 ISC 핸들러인 Brad Duncan 에 의해 4월 초에 문서화되었습니다. META Stealer는 사용자의 민감한 정보를 노리는 해커들 사이에서 인기를 얻고 있습니다. Duncan의 철저한 연구에 따르면, 적들은 META 정보 탈취를 배포하여 웹 브라우저(예: Firefox, Chrome, Edge)에 저장된 감염된 시스템의 암호를 손에 넣고 암호화폐 지갑을 해킹합니다. 킬 체인의 첫 번째 단계는 피싱 이메일을 통해 매크로가 포함된 Excel 스프레드시트를 배포하는 것으로 특징지어집니다. 피해자가 감염된 이메일 첨부파일을 열도록 유도하는 가짜 자금 전환을 기반으로 합니다. 모든 필요한 단계가 수행되면, VBS 매크로가 백그라운드에서 활성화됩니다. 그런 다음에는 DLL 및 실행 파일과 같은 악성 페이로드의 다운로드가 이어집니다.
시스템이 재부팅된 후에도 EXE 파일은 193.106.191[.]162의 명령 및 제어 서버와 통신합니다. 이 과정은 악성코드의 지속성을 의미하며, 감염된 장치에서 감염 과정을 재시작합니다.
보안 전문가는 META 정보 탈취가 PowerShell을 통해 Windows Defender를 수정하여 .exe 파일을 검사에서 제외하여 탐지를 피한다는 사실을 고려해야 합니다. 은밀한 악성코드에 효과적으로 대응하기 위해 SOC Prime의 Detection as Code 플랫폼에 동참하세요. 이 플랫폼은 전 세계 사이버 보안 전문 지식을 통해 위협 탐지 기능을 빠르고 효율적으로 발전시킬 수 있습니다. 자신의 탐지 컨텐츠를 기고하고 협력적 사이버 방어를 주도하고 싶으신가요? SOC Prime의 크라우드소싱 이니셔티브 에 참여하여 Sigma 및 YARA 규칙을 커뮤니티와 공유하고, 더 안전한 사이버 공간에 기여하며, 컨텐츠에 대한 반복적인 보상을 받으세요!
