TerraStealerV2 및 TerraLogger 탐지: Golden Chickens 위협 행위자, 새로운 멀웨어 패밀리 배후
목차:
재정적 동기를 가진 Golden Chickens 그룹은 착취형 MaaS 모델 하에서 작업하는 것으로 알려졌으며, TerraStealerV2와 TerraLogger라는 두 개의 신규 악성 코드와 연결되어 있으며, 이는 그룹이 공격 도구를 강화하고 확장하기 위한 지속적인 노력을 나타냅니다. TerraStealerV2는 브라우저 자격 증명, 암호화폐 지갑 데이터 및 브라우저 확장 프로그램의 세부 정보를 수집하고, TerraLogger는 독립적인 키로거로 작동하여 키 입력을 캡처하고 로그를 로컬에 저장합니다.
TerraStealerV2 및 TerraLogger 악성 코드를 활용한 Golden Chickens 공격 탐지
세계 경제 포럼 보고서는 2025년에 조직의 약 72%가 지난 12개월 동안 주요 사이버 위험이 증가했으며, 63%는 복잡하고 진화하는 위협 환경이 사이버 회복 탄력성을 달성하는 데 가장 큰 도전 과제라고 언급했다고 강조합니다. 사이버 범죄자들은 점점 더 혁신적이 되어 자동화, AI 생성 공격, 제로데이 익스플로잇 및 정교한 전술을 활용하여 가장 강화된 방어도 침해하고 있습니다.
SOC Prime 플랫폼 등록 하여 TerraStealerV2 및 TerraLogger와 같은 진화하는 위협을 Golden Chickens로부터 확장할 수 있습니다. AI 기반 탐지 엔지니어링, 자동화된 위협 수색 및 고급 위협 탐지를 위한 완전한 제품군을 지원하는 관련 Sigma 규칙 세트를 액세스합니다. 단추를 눌러 탐지 보기 및 즉시 큐레이팅된 탐지 스택으로 탐색하십시오.
모든 규칙은 여러 SIEM, EDR 및 데이터 레이크 기술과 호환되며 MITRE ATT&CK® 에 매핑되어 위협 조사를 간소화합니다. 게다가, 각 규칙은 광범위한 메타데이터로 보강되어 있습니다. 여기에는 CTI 참조, 공격 타임라인, 감사 설정, 분류 권장 사항 등이 포함됩니다.
사이버디펜더는 “TerraStealerV2” 및 “TerraLogger” 태그를 사용하여 위협 탐지 마켓플레이스에서 탐지 콘텐츠 업데이트를 추적할 수 있습니다.
또한, 보안 전문가들은 Uncoder AI – 위협 정보 탐지 엔지니어링용 프라이빗 IDE & 공동 파일럿 – 현재 AI 기능에 제한 없이 완전히 무료로 제공됩니다. 원시 위협 보고서에서 탐지 알고리즘을 생성하고, 성능 최적화 쿼리에 빠른 IOC 스윕을 가능하게 하고, ATT&CK 태그를 예측하며, AI 팁으로 쿼리 코드를 최적화하고, 48개의 SIEM, EDR 및 데이터 레이크 언어로 번역하며, 그 외 더 많은 기능을 수행할 수 있습니다.
Golden Chickens의 최신 활동 분석
Recorded Future의 Insikt Group 연구원들이 Golden Chickens 그룹(일명 Venom Spider)과 연결된 몇 가지 새로운 악성 샘플을 발견했습니다. 이는 FIN6, Cobalt Group, 그리고 Evilnum같은 위협 행위자들이 활용한 MaaS 플랫폼을 운영하는 것으로 알려져 있습니다. Golden Chickens는 자격 증명 도용 및 키로깅 활동을 지원하기 위해 도구 세트를 적극적으로 확장하고 있는 것으로 보입니다.
TerraStealerV2는 브라우저 자격 증명을 수확하고 암호화폐 지갑 및 확장 데이터에 목표를 둡니다. 이 악성 코드는 LNK, MSI, DLL 및 EXE와 같은 다양한 형식으로 관찰되었으며, 정지 상태를 피하기 위해 regsvr32.exe 및 mshta.exe와 같은 정통 Windows 도구를 사용합니다. 이는 Chrome의 “로그인 데이터” 데이터베이스에 접근을 시도하지만 2024년 7월 이후 ABE 보호를 우회할 수 없으므로 아직 개발 중이거나 구식일 수 있음을 시사합니다.
다른 새로 관찰된 악성 계열인 TerraLogger는 기본적인 키로거로 작동하며, 저수준 키보드 훅을 사용하여 키 입력을 기록하고 로그를 로컬에 저장합니다. 이는 데이터 유출 및 C2 기능이 결여되어 있으며, 이는 초기 단계의 도구이거나 Golden Chickens의 MaaS 프레임워크 내에서 모듈식으로 작동하도록 설계되었음을 시사합니다.
적어도 2018년부터, Golden Chickens의 MaaS 제품군은 주로 사회 공학적 전술을 통해 고위 조직을 표적으로 하는 공격에 활용되어 왔으며, 이는 주로 구직 제안이나 이력서로 위장한 스피어피싱 이메일을 통해 수행됩니다. 제품군의 주요 구성 요소는 VenomLNK와 TerraLoader입니다. 감염은 일반적으로 TerraLoader를 시작하는 악성 Windows 바로가기인 VenomLNK로 시작되며, 이는 추가적인 Golden Chickens 페이로드를 제공합니다. 여기에는 자격 증명 도용용 TerraStealer, TeamViewer 세션 탈취용 TerraTV, 랜섬웨어 배포용 TerraCrypt가 포함됩니다. Golden Chickens의 MaaS 생태계 내의 다른 관련 도구에는 시스템 정찰용 TerraRecon, 데이터 파괴용 TerraWiper 및 lite_more_eggs가 포함됩니다. 2024년 후반에, Golden Chickens는 RevC2 백도어와 Venom Loader의 배후에 있었으며, 이는 VenomLNK를 통해 제공되었습니다.
TerraStealerV2와 TerraLogger는 여전히 활발히 개발 중이고, 일반적으로 더 정교한 Golden Chickens 도구에 보이는 은밀한 기능이 부족합니다. 그러나 그룹의 자격 증명 도용과 접근 도구 구축에 대한 검증된 전문성을 고려할 때, 이러한 기능이 더 발전할 것으로 예상됩니다. Golden Chickens의 공격 위험을 최소화하기 위해 조직은 적시에 지속적으로 진화하는 위협에 대응하기 위한 선제적 사이버 보안 전략을 구현해야 합니다. SOC Prime 플랫폼 은 AI, 자동화 및 실시간 인텔리전스로 지원되는 집단 사이버 방어를 위한 완전한 제품군을 보안 팀에게 제공합니다. 이를 통해 전 세계 조직이 사이버 보안 태세를 위험 최적화하는 데 도움을 줍니다.