탐지 콘텐츠: 악성 스팸이 Zloader 맬웨어를 다운로드합니다

[post-views]
5월 25, 2020 · 2 분 읽기
탐지 콘텐츠: 악성 스팸이 Zloader 맬웨어를 다운로드합니다

Zloader 트로잔(일명 Zeus Sphinx 및 Terdot)은 2015년 8월 처음 발견되었습니다. 이는 Zeus v2 트로잔의 유출된 소스코드를 기반으로 하며, 사이버 범죄자들이 전 세계 금융 기관에 대한 공격에서 웹 인젝션을 통해 민감한 데이터를 수집하는데 사용하였습니다. 2018년 초에 이 뱅킹 트로잔의 사용은 잠잠해졌으나, 지난해 12월에 다시 사용되기 시작하여 연구자들은 이미 25개의 새로운 버전의 Zloader를 발견했습니다.

Proofpoint의 연구자들이 포착한 2020년 1월 이후 미국, 캐나다, 독일, 폴란드 및 호주 사용자를 대상으로 한 100개 이상의 캠페인. 적대자들은 다양한 사기성 이메일 유혹을 사용하지만, 지난 두 달 동안 COVID-19 사기 예방 팁, COVID-19 검사 및 송장에 우선순위를 두고 있습니다. 트로잔의 새로운 버전은 코드 난독화와 문자열 암호화가 누락되어 있으며 2018년에 트로잔이 가지고 있던 몇 가지 고급 기능도 없습니다. 최근 Emir Erdogan 이 릴리스한 커뮤니티 Sigma 규칙은 sysmon 로그의 도움으로 Zloader 악성코드를 발견하는데 보안 솔루션에 도움을 줍니다: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1

 

규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전술: 방어 회피, 발견

기술: 레지스트리 수정 (T1112), 레지스트리 쿼리 (T1012)

 

이 악성코드를 탐지하기 위한 추가 규칙:

XLS 문서 다운로드 Zloader DLL Emir Erdogan 작성 – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/

Zloader RAT 탐지 Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/

Terdot 트로잔 Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물