Lokibot은 광범위한 민감한 데이터를 수집하기 위해 설계된 트로이 멀웨어입니다. 2015년에 처음 발견되었으며, 사이버 범죄자들 사이에서 매우 인기가 있습니다. 이는 누구라도 지하 포럼에서 구매할 수 있습니다. 몇 년 전 ‘기술자’들은 자발적으로 트로이 목마에 C&C 인프라 주소를 추가하는 방법을 배우고 ‘크랙된’ 버전을 판매하기 시작하였고, 이는 이 정보 탈취기를 사용한 공격의 급증을 초래했습니다. 한편, 불법 복제 버전은 지속성을 유지할 수 없지만, Lokibot은 몇 분 안에 저장된 자격 증명을 훔칠 수 있으며, 이러한 공격에 책임을 묻기는 어려울 것입니다.
Lokibot은 스팸 이메일 및 악성 웹사이트를 통해 배포됩니다. 트로이 목마의 주요 기능은 민감한 데이터를 기록하는 것입니다: 이는 저장된 로그인/비밀번호를 수집하고 사용자의 활동을 지속적으로 추적하여 수집된 정보를 적대자가 제어하는 원격 서버에 즉시 저장합니다. 이 트로이 목마는 성공적인 감염 시 거의 즉시 사기꾼에게 필요한 모든 정보를 제공하므로 BEC 공격에 자주 사용됩니다. Lee Archinal의 독점 룰은 최근에 발견된 Lokibot 샘플의 분석에 기반하며, 적시에 손상된 시스템을 감지하는 데 도움이 될 수 있습니다: https://tdm.socprime.com/tdm/info/T6NDsITcwOfT/n21AqHIBPeJ4_8xce4aS/?p=1
이 위협을 감지하기 위한 다른 규칙들도 ” Threat Detection Marketplace.
“에서 탐색할 것을 권장합니다.
이 규칙은 다음 플랫폼의 번역을 포함합니다:
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: Command and Control, Defense Evasion
기술: Commonly Used Port (T1043), File Deletion (T1107)
