Zloader 트로잔(일명 Zeus Sphinx 및 Terdot)은 2015년 8월 처음 발견되었습니다. 이는 Zeus v2 트로잔의 유출된 소스코드를 기반으로 하며, 사이버 범죄자들이 전 세계 금융 기관에 대한 공격에서 웹 인젝션을 통해 민감한 데이터를 수집하는데 사용하였습니다. 2018년 초에 이 뱅킹 트로잔의 사용은 잠잠해졌으나, 지난해 12월에 다시 사용되기 시작하여 연구자들은 이미 25개의 새로운 버전의 Zloader를 발견했습니다.
Proofpoint의 연구자들이 포착한 2020년 1월 이후 미국, 캐나다, 독일, 폴란드 및 호주 사용자를 대상으로 한 100개 이상의 캠페인. 적대자들은 다양한 사기성 이메일 유혹을 사용하지만, 지난 두 달 동안 COVID-19 사기 예방 팁, COVID-19 검사 및 송장에 우선순위를 두고 있습니다. 트로잔의 새로운 버전은 코드 난독화와 문자열 암호화가 누락되어 있으며 2018년에 트로잔이 가지고 있던 몇 가지 고급 기능도 없습니다. 최근 Emir Erdogan 이 릴리스한 커뮤니티 Sigma 규칙은 sysmon 로그의 도움으로 Zloader 악성코드를 발견하는데 보안 솔루션에 도움을 줍니다: https://tdm.socprime.com/tdm/info/5cHnCBKKeran/JIz1O3IB1-hfOQiruE6_/?p=1
규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
전술: 방어 회피, 발견
기술: 레지스트리 수정 (T1112), 레지스트리 쿼리 (T1012)
이 악성코드를 탐지하기 위한 추가 규칙:
XLS 문서 다운로드 Zloader DLL Emir Erdogan 작성 – https://tdm.socprime.com/tdm/info/U1w6N3V5W0qp/gIuyY3EB1-hfOQirb7GH/
Zloader RAT 탐지 Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/Q9ZPnPI9b4Wp/issm7XABTfY1LRoX-JWS/
Terdot 트로잔 Ariel Millahuel 작성 – https://tdm.socprime.com/tdm/info/1qk1Yy70eMpg/NQkXu3EBAq_xcQY4296O/
