탐지 콘텐츠: Mekotio 뱅킹 트로이 목마

Mekotio는 또 다른 라틴 아메리카 은행 트로이 목마로 주로 브라질, 멕시코, 스페인, 칠레, 페루, 포르투갈의 사용자를 대상으로 합니다. 이는 피싱 이메일을 통해 배포되는 지속성이 있는 멀웨어로, 시작 폴더에 LNK 파일을 생성하거나 실행 키를 사용하여 지속성을 보장합니다. 대상 사용자의 암호화폐를 훔치고, 스크린샷을 찍고, 감염된 시스템을 재부팅하며, 합법적인 은행 웹사이트에 대한 접근을 제한하고, Google Chrome의 자격 증명을 훔칠 수 있습니다. 또한, 이 은행 트로이 목마는 사용자의 시스템 설정, Windows OS에 관한 정보, 방화벽 구성, 설치된 바이러스 백신 솔루션 목록에 접근할 수 있습니다. 

Mekotio 은행 트로이 목마는 시스템 파일 및 폴더를 삭제하여 단순한 와이퍼로 작동할 수 있습니다. 가장 주목할 만한 기능 은 이 멀웨어 패밀리의 최신 변형이 C&C 서버로 SQL 데이터베이스를 사용한다는 것입니다. Mekotio가 사용하는 C&C 서버는 오픈소스 델파이 원격 접근 PC 프로젝트를 기반으로 하거나 C&C 명령을 저장하는 SQL 데이터베이스를 사용합니다. Mekotio는 하드코딩된 자격 증명을 사용하여 서버에 저장된 특정 SQL 절차를 호출합니다. 

Osman Demir 는 트로이 목마 설치 및 지속성 메커니즘을 탐지할 수 있는 새로운 커뮤니티 Sigma 규칙을 공개했습니다.

규칙은 다음 플랫폼에 대한 번역본을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Microsoft Defender ATP, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근, 지속성

기술: 레지스트리 실행 키 / 시작 폴더 (T1060), 스피어 피싱 링크 (T1192)

Threat Detection Marketplace에서 더 많은 규칙 탐색 Osman Demir이 발표

SOC Prime TDM을 체험할 준비가 되셨습니까? 무료로 가입하기. 또는 Threat Bounty Program에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.