탐지 콘텐츠: Himera 로더

오늘의 게시물은 지난달부터 COVID-19 관련 피싱 캠페인에서 적들이 사용하고 있는 Himera 로더 악성코드에 전념합니다. 사이버 범죄자들은 진행 중인 COVID19 팬데믹과 관련된 가족 및 의료 휴가 법 요청을 주제로 삼아 Trickbot과 Kpot 정보 도난 프로그램을 배포하는 데 이미 효과가 입증된 이 주제를 미끼로 계속 사용하고 있습니다. 

최근 캠페인에서는 이메일이 두 가지 범용 사이버 범죄 도구인 Himera와 Absent-Loader로 무장되었습니다. 이번 주에 Osman Demir는 이러한 캠페인과 관련된 Himera 로더 샘플을 탐지하기 위한 커뮤니티 위협 헌팅 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/xiOqL9btiBMi/pOZfdXIBv8lhbg_imf_P/?p=1

이 캠페인에서는 악성 문서에 매크로나 익스플로잇 유형을 전혀 활용하지 않고, 대신 문서 자체에 전체 실행 파일을 포함된 객체로 내장합니다. Himera 로더는 다음 단계의 악성코드 코드를 피해자의 컴퓨터에 로딩하는 데 특화되어 있습니다. 이 로더는 Windows API를 사용하여 고전적인 분석 방지 트릭을 수행하여 연구원이 주요 페이로드를 드러내지 않도록 하고 캠페인을 더 오래 비밀로 유지합니다.

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행

기법: 사용자 실행 (T1204)