WikiLoader 공격 탐지: 적대 세력이 SEO 중독을 통해 가짜 GlobalProtect VPN 소프트웨어를 활용하여 새로운 멀웨어 변종 배포
목차:
최신 통계 에 따르면 2023년 대적들은 하루 평균 200,454개의 고유한 악성 코드 스크립트를 배포하며, 이는 대략 1.5분당 새로운 샘플 하나를 의미합니다. 성공적인 악성 코드 공격을 진행하기 위해, 위협 행동자들은 보안 보호 장치를 극복하기 위한 다양한 악성 방법을 사용하고 있습니다. 주목받고 있는 최신 악성 캠페인은 SEO 중독을 통해 WikiLoader(WailingCrab이라고도 함)를 전달하기 위해 Palo Alto Networks의 정품 GlobalProtect VPN 소프트웨어를 위장합니다.
WikiLoader 악성 코드 공격 탐지
WikiLoader는 보안 솔루션의 탐지망을 피하기 위해 설계된 정교한 악성 위협입니다. 잠재적인 공격을 가장 초기 단계에서 식별하고 조직 네트워크를 선제적으로 방어하기 위해, 보안 전문가들은 고급 위협 탐지 및 사냥을 위한 고급 솔루션과 함께 큐레이션된 탐지 알고리즘을 필요로 합니다.
SOC 프라임 플랫폼 은 공동 보험 사이버 방어를 위해 헌신된 Sigma 규칙 세트를 집계하여 사이버 방어자들이 WikiLoader 감염을 적시에 식별할 수 있도록 합니다. 아래의 탐지 탐색 버튼을 누르면 즉시 관련 탐지 스택에 접근할 수 있습니다.
모든 규칙은 30개 이상의 SIEM, EDR, 및 Data Lake 솔루션과 호환되며 MITRE ATT&CK® 프레임워크와 매핑됩니다. 또한 탐지는 위협 정보 참조, 공격 타임라인 및 식별 권장사항을 포함한 광범위한 메타데이터로 강화되며, 이는 위협 조사를 용이하게 합니다. threat intel references, attack timelines, and triage recommendations, helping to smooth out threat investigation.
WikiLoader 백도어 분석
Unit 42 연구진들은 SEO 중독을 초기 접근 벡터로 사용하고 Palo Alto Networks GlobalProtect VPN 소프트웨어의 위장 버전을 통한 WikiLoader의 새로운 변종을 발견했습니다. 2024년 초 여름에 처음 관측된 이 최신 캠페인은 주로 미국의 고등 교육 및 교통산업 부문과 이탈리아에 위치한 조직들을 주 타겟으로 하고 있습니다. a novel variant of the WikiLoader being distributed through SEO poisoning as the initial access vector and a spoofed version of Palo Alto Networks GlobalProtect VPN software. The latest campaign, first observed in early summer 2024, primarily targets the U.S. higher education and transportation industry sectors and organizations located in Italy.
WikiLoader(WailingCrab이라고도 함)는 2022년에 처음 식별된 다단계 악성 로더입니다. 이탈리아 조직을 타겟으로 하는 TA544 및 TA551 해킹 그룹이 초기 WikiLoader 캠페인 뒤에 있는 것으로 관측되었습니다. 공격자들은 주로 Microsoft Excel, Microsoft OneNote 또는 PDF 형식의 이메일 첨부 파일을 포함하는 피싱 공격 벡터에 의존해었습니다. 가장 두드러진 대적 캠페인에서는 WikiLoader가 Ursnif를 두 번째 악성 페이로드로 전달하였습니다.
WikiLoader는 초기 접근 브로커에 의해 지하 마켓플레이스에서 판매되며, 피싱 및 손상된 WordPress 사이트를 통한 일반적인 배포 방법을 가집니다. 하지만 최신 캠페인은 피싱에서 SEO 중독으로 전환하여 무기화된 페이지를 순위에 올리고, 검색 엔진 결과 상단에 가짜 VPN을 홍보합니다. 방어자에 따르면, 이 방법은 전통적인 피싱에 비해 잠재적인 피해자 풀을 크게 확장합니다.
WikiLoader는 악성 코드 탐지 및 분석을 방해하기 위한 정교한 회피 기술 및 맞춤 코딩 요소를 특징으로 합니다. 최신 캠페인에서 관측된 WikiLoader 방어 회피 기술에는 악성 코드 실행 시 가짜 오류 메시지 표시, 합법적인 소프트웨어 이름 변경 및 위장 GlobalProtect 설치 프로그램 내부에 숨겨 백도어 사이드 로딩, 다수의 안티-맬웨어 분석 확인을 수행하는 것이 포함됩니다.
Proofpoint 연구진들은 이전에 적어도 세 가지 다른 WikiLoader 반복을 관찰했으며, 이는 악성 코드의 지속적인 진화를 보여줍니다. 초기 버전은 기본 시스템 호출 구조, 최소한의 난독화, 비문자열 인코딩 및 가짜 도메인 수동 생성이 포함되어 있었으며, 두 번째 반복은 시스템 호출 복잡성 증가, 추가적 바쁘게 돌아가는 루프 구현, 문자열 인코딩 및 아티팩트 삭제를 포함하였습니다. 세 번째 WikiLoader 반복에는 새로운 간접 시스템 호출 기술, MQTT를 통한 파일 회수, 쿠키 유출, 더 복잡한 셸코드 실행이 포함됩니다. earlier observed at least three different WikiLoader iterations, which displays the malware continuous evolution. The initial version contained a basic syscall structure, minimal obfuscation, no string encoding, and manual creation of fake domains, while the second iteration involved increased syscall complexity, implemented additional busy loops, and relied on string encoding and artifact deletion. The third WikiLoader iteration involves a new indirect syscall technique, file retrieval via MQTT, cookie exfiltration, and more complex shellcode execution.
방어자들은 재정적으로 유인된 해커 그룹이 다양한 캠페인에서 WikiLoader를 다목적이며 은밀한 Windows 로더로 계속 사용할 것으로 예상합니다. 증가하는 공격 능력에 비해 조직이 경쟁적 우위를 얻도록 돕기 위해, SOC Prime은 보안 팀에 AI 지원 탐지 설계, 자동화된 위협 사냥, 강력한 사이버보안 자세를 구축하기 위한 고급 위협 탐지를 위한 완전한 제품군 을 제공합니다.
