탐지 콘텐츠: Kpot 정보 스틸러 캠페인

COVID-19는 사이버 범죄자들이 피싱 및 멀웨어 스팸 캠페인에서 악용하는 가장 인기 있는 주제입니다. 최근 공격자들은 사용자를 설득하여 악성 첨부 파일을 열도록 하는 새로운 효과적인 방법을 찾았습니다. IBM X-Force의 연구원들은 미국 노동부 소속의 메시지를 가장한 이메일을 사용한 악성 캠페인을 발견했습니다. 적대자들은 직원이 의료 휴가 혜택을 받을 수 있는 권리를 갖게 하는 Family and Medical Leave Act 테마를 악용하여 사용자들이 그들의 시스템에 악성코드를 설치하도록 설득했습니다. 4월 말, 사이버 범죄자들은 악명 높은 트릭봇(TrickBot) 악성코드 를 이 캠페인을 통해 확산시켰습니다. 그 결과가 너무 잘 되었기 때문에 다른 그룹들도 그들의 성공을 반복하고 유사한 이메일 을 사용하여 Kpot 정보 탈취기 배포를 시작했습니다.

Kpot 정보 탈취기는 공격에 사용되는 상용 악성코드 가족의 일부이며, 2년 이상 사용되었습니다. 이 악성코드는 관리 패널에 공개적으로 나타나는 문자열에서 이름을 얻었습니다. 웹 브라우저, 인스턴트 메신저, 이메일, VPN, RDP, FTP, 암호화폐 및 게임 소프트웨어에서 계정 정보 및 기타 민감한 데이터를 빼낼 수 있습니다. 

Osman Demir가 작성한 독점 규칙이 Kpot 악성코드의 설치 및 C&C 서버와의 통신을 탐지합니다: https://tdm.socprime.com/tdm/info/ii9QqpiHyqy6/WAp0MXIBAq_xcQY4kDqR/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근

기술: 스피어피싱 첨부 파일 (T1193)

이 위협을 탐지하기 위한 추가 규칙:

Ariel Millahuel – KPOT 행동 (Sysmon 탐지) – https://tdm.socprime.com/tdm/info/GLHwVXtutFHs/00Hs53ABya7YkBmwZL3D/
Emir Erdogan – Powershell 다운로드기 (KPOT 악성코드) – https://tdm.socprime.com/tdm/info/UsThElkyx4kQ/OgkSeHEBAq_xcQY4Fq6F/

TDM에서 Osman Demir의 모든 규칙 보기: 필터 패널에서 작성자를 지정하거나 Lucene 검색 쿼리 옵션을 사용하여 검색 (tags.author:Osman Demir). 

https://tdm.socprime.com/?authors[]=Osman+Demir