탐지 콘텐츠: 바자 로더
목차:
이번 가을은 기업 인프라의 수호자들에게 또 다른 도전을 가져왔습니다. 올해 초 4월 말에, TrickBot 의 개발자들은 미국과 유럽 전역의 전문 서비스, 헬스케어, 제조업, IT, 물류 및 여행사들을 대상으로 하는 피싱 캠페인에서 새로운 은밀한 백도어를 사용했습니다. 악명 높은 Lazarus APT를 포함한 많은 고급 위협 행위자가 TrickBot의 서비스를 사용하며, 멀웨어 작성자들은 Anchor 멀웨어 프레임워크 와 같은 잘 알려진 도구를 개선할 뿐만 아니라 Bazar Loader(BazarBackdoor 또는 Team9 Backdoor)와 같은 새로운 도구도 만듭니다.
최근 Bazar 로더가 고가치 타겟에 Ryuk 랜섬웨어를 전달하는 것이 관찰되었습니다. 연구자들은 보고된 대응 사례를 바탕으로 멀웨어가 스텔스성과 난독화 능력으로 인해 성공적으로 목표를 달성한다고 말합니다. 최근 활동에서 해커들은 APT 그룹에서 인기가 높은 인증서 서명을 채택하고 피싱 공격을 조정하며, 악성 도구 모음을 확장했습니다. 최근의 공격은 해커들이 피해 회사 직원들의 중요한 문제점을 이용하여 목표를 달성함을 보여줍니다.
Bazar 로더 멀웨어 증가
Bazar 멀웨어는 해커들이 희생된 기기를 감염시키고 민감한 데이터를 추가로 수집하기 위해 사용하는 악성 로더입니다. 새로운 고급 멀웨어 변종은 또한 다른 멀웨어를 전달하기 위한 백도어 기능을 갖추고 있습니다. 공격자들은 주로 Bazar 로더를 사용하여 침해된 기업 네트워크에 발판을 확보합니다. 연구자들은 이 멀웨어 변종의 C&C 도메인이 .bazar 최상위 도메인을 가지고 있어서 이름을 붙였습니다. 이 TLD는 OpenNIC에서 피어 투 피어 분산 도메인 시스템인 EmerDNS에 의해 제공되며, 법 집행 기관이 이들 도메인을 접수하기는 매우 어렵거나 불가능할 것입니다. BazarLoader의 초기 버전에서는 TrickBot 작성자들이 bestgame.bazar, forgame.bazar 또는 newgame.bazar와 같은 하드코딩된 도메인을 한 손에 꼽을 정도로 사용했지만, 최근 발견된 샘플은 알고리즘적으로 생성된 도메인을 시도합니다.
Bazar 로더와 백도어 기능
TrickBot 해커들은 최근 캠페인을 위해 도구 세트를 개선했습니다. SandGrid 이메일 플랫폼을 이용하여 희생된 조직의 인력에게 인사부의 해고에 관한 공식 서한처럼 보이는 피싱 이메일을 보냈습니다. 피싱 첨부 파일은 희생자를 링크를 따르도록 유도하여 가짜 해고 정보가 있는 구글 문서를 열도록 유도합니다. 희생자는 URL로 리디렉션되어 그렇게 함으로써 Bazar 또는 Buer 멀웨어로의 경로를 열게 됩니다. 다음 단계로 Bazar 백도어가 다운로드됩니다.
공격 연구원들은 또한 백도어가 Cobalt Strike 툴킷도 전달하여 해커들이 획득한 기업 네트워크의 취약점을 자신의 이익을 위해 활용하는 동시에 상업용 기사로 사용할 수 있음을 알아냈습니다.
이 멀웨어는 가능한 모든 탐지를 피하고 성공적으로 피해자를 침해한 후 시스템에서 스스로 제거하는 것을 목표로 합니다.
Bazar 로더 공격 탐지
SOC Prime Threat Bounty Program의 활동적인 멤버들이 Bazar 로더 악성 활동 탐지를 위한 커뮤니티 Sigma 규칙을 발표했습니다.
Emanuele De Lucia가 Sigma 규칙을 발표 CnC 비콘을 통해 Wizard Spider / Ryuk 랜섬웨어 임플란트를 탐지
또한, Osman Demir가 발표한 Ryuk 및 BazarBackdoor Sigma 규칙은 최신 Bazar 공격 변종을 발견합니다.
이전에, Ariel Millahuel이 조직 네트워크에서 Bazar Loader의 악성 활동을 탐지하기 위해 새로운 커뮤니티 위협 사냥 Sigma를 발표했습니다: https://tdm.socprime.com/tdm/info/QDvyH85txiBA/4gdopHMBPeJ4_8xcJWjN/
이 규칙은 다음 플랫폼에 대한 번역을 갖추고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 실행
기술: 명령줄 인터페이스 (T1059)
또한 이 멀웨어를 감지하기 위한 SOC Prime 팀이 발표한 대단한 규칙 몇 가지를 주목하세요:
Team9/Bazar 예약 작업 이름 (감사를 통해) – https://tdm.socprime.com/tdm/info/efOdljfHf6Qk/THlyvHIBPeJ4_8xcOJZg/
Team9/Bazar 배치 파일 이름 패턴 (cmdline을 통해) – https://tdm.socprime.com/tdm/info/51onXdAhOkLs/sE9tvHIBSh4W_EKGAAjz/
SOC Prime TDM을 시도해볼 준비가 되셨나요? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 작성하고 TDM 커뮤니티와 공유하세요.
