탐지 콘텐츠: FTCode 랜섬웨어

오늘 우리는 이탈리아어 사용자들을 대상으로 하는 또 다른 랜섬웨어에 주목하려고 합니다. 2013년에 연구자들에 의해 처음 발견된 FTCode는 스팸을 통해 배포되는 PowerShell 기반의 랜섬웨어입니다.

최근 공격에서는 FTCode 랜섬웨어가 송장, 신청서 등으로 위장한 첨부 파일이 포함된 이메일을 통해 피해자 기계에 전달되었습니다. 첨부 파일에는 매크로가 포함되어 있거나 VBS 스크립트 파일이 포함되어 있습니다. 사용자는 보통 매크로를 활성화하거나 첨부된 스크립트 파일을 시도하여 악성 스크립트의 문을 열게 됩니다. PowerShell 스크립트가 실행되면 FTCode가 다운로드됩니다. C&C 서버에서 명령을 수신한 후, 랜섬웨어는 시스템을 암호화할 뿐만 아니라 로그인 자격 증명과 같은 민감한 사용자 데이터를 훔쳐 서버로 전송합니다.

Threat Bounty Program 회원이 최근 게시한 탐지 콘텐츠 Emir Erdogan FTCode 랜섬웨어를 밝혀냅니다:

https://tdm.socprime.com/tdm/info/Q7oowPwEYKFt/vfYoyHMBQAH5UgbBiUJ3/

규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 영향, 실행, 지속성, 권한 상승

기술: 영향에 대한 데이터 암호화 (T1486), 시스템 복구 억제 (T1490), PowerShell (T1086), 예약된 작업 (T1053)

SOC Prime TDM을 시도해 보시겠습니까? 무료로 가입하기.

Or Threat Bounty Program에 참여하세요 자신의 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.