탐지 콘텐츠: 의료 공급업체에서의 COVID-19 관련 공격

Osman Demir의 새로운 Sigma 규칙은 의료 공급업체를 대상으로 한 COVID-19 관련 피싱 공격을 탐지하는 데 도움이 됩니다. https://tdm.socprime.com/tdm/info/IkntTJirsLUZ/uowd33EB1-hfOQirsQZO/

이 캠페인은 지난주 말에 알려졌으며 연구자들은 이를 419 사기범들이 COVID-19 대유행을 이용해 비즈니스 이메일 침해 공격과 관련이 있다고 믿고 있습니다. 공격자들은 COVID-19 대유행에 대응하기 위해 필요한 다양한 자재에 대해 문의하는 악성 MS 워드 문서를 첨부한 고도로 표적화된 피싱 이메일을 보냅니다. 이 문서는 Agent Tesla 정보 탈취기를 전달하기 위해 여전히 효과적인 오래된 CVE-2017-11882 취약점을 악용합니다. AgentTesla는 다양한 애플리케이션에서 데이터를 탈취하는 모듈식 .Net 기반의 악성코드입니다. 와이파이 크리덴셜, 이 상용 멀웨어는 BEC 사기범들이 가장 좋아하는 도구 중 하나입니다. 

Osman Demir는 2019년 11월 말에 첫 콘텐츠를 발표했으며, 이제 100개 이상의 규칙이 발표되어 있으며, 그 중에는 요청에 대한 Wanted List 콘텐츠도 포함되어 있습니다. Osman Demir와의 인터뷰: https://socprime.com/blog/interview-with-developer-osman-demir/

위협 탐지는 다음 플랫폼에 대해 지원됩니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술(Tactics): 초기 접근

기법(Technique): 스피어피싱 첨부파일 (T1193)

이 캠페인과 관련된 다른 규칙:

AgentTesla RAT 탐지 규칙 by Emir Erdogan – https://tdm.socprime.com/tdm/info/bwpRaR1KCq8h/2gPEG3EB61gt8vwY-DXY/

PowerShell 난독화 by AgentTesla 규칙 by Emir Erdogan – https://tdm.socprime.com/tdm/info/lZkiLjSHfmwQ/PYvnXnEB1-hfOQirOqxi/

Agent Tesla 동작 (Sysmon 및 PowerShell 탐지) by Ariel Millahuel – https://tdm.socprime.com/tdm/info/AgFv1HqhtfgQ/J7Fa43ABqweaiPYIihcd/  

와이파이 비밀번호 훔치기 (업그레이드된 Agent Tesla 사용) by Osman Demir – https://tdm.socprime.com/tdm/info/PsBE0K0CXzlB/KCHzlnEBjwDfaYjKDxpo/

CVE-2017-11882 악용 by Florian Roth – https://tdm.socprime.com/tdm/info/KUZsK6Fq4Rzi/Bc2JDmsBohFCZEpapqaa/

CVE-2017-11882의 악용 (잠재적 APT27 공격) by Emir Erdogan – https://tdm.socprime.com/tdm/info/243LAdCcDV9W/FMVH-W4BUORkfSQh6bqx/