탐지 콘텐츠: Arkei Stealer

Arkei Stealer는 정보유출형 악성코드의 변종으로, Azorult 악성코드와 유사한 기능을 가지고 있습니다: 민감한 정보, 자격 증명, 암호화폐 지갑의 비밀 키를 탈취합니다. 이 악성코드는 지하 포럼에서 판매되며, 누구나 “정식” 버전과 Arkei Stealer의 크랙 버전을 취득하고 사용할 수 있어 공격의 출처를 파악하기 어렵게 만듭니다. 

이 정보유출형 악성코드를 사용한 가장 눈에 띄는 사이버 공격은 Syscoin 암호화폐 개발자 중 한 명의 GitHub 계정을 해킹하고, 2018년에 GitHub에 게시된 공식 Windows 클라이언트를 악성 버전으로 교체하면서 공식 프로젝트 리포지토리를 손상시킨 사건으로 볼 수 있습니다. 이 악성코드는 며칠 동안 감지되지 않았고, 2019년에는 봇넷을 통해 활발히 확산되었으며, 최근에는 Spamhaus Botnet이 최신 버전의 정보유출형 악성코드를 계속해서 배포하고 있다고 보고되었습니다.

새로운 샘플이 정기적으로 등장하고 있으며, 최근 발견된 악성코드를 기반으로 Threat Bounty Program 참가자인 Lee Archinal 은 이 위협의 존재를 Windows 시스템에서 발견할 수 있는 탐지 콘텐츠를 개발했습니다: https://tdm.socprime.com/tdm/info/7uHa99YPouCi/3Oz7uHMBQAH5UgbBuMmh/?p=1

해당 규칙은 다음 플랫폼에서 번역됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 자격 증명 접근, 발견

기법: 명령줄 인터페이스 (T1059), 자격 증명 덤핑 (T1003), 레지스트리 쿼리하기 (T1012)

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 귀하만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.