탐지 콘텐츠: Phorpiex 트로이 목마

우리의 위협 헌팅 콘텐츠 블로그 게시물 중 하나에서 이미 감지 규칙을 관찰했습니다 Avaddon 랜섬웨어, 이는 6월 초에 처음 발견된 새로운 Ransomware-as-a-Service 변형입니다. Avaddon 랜섬웨어의 가장 활발한 배포자 중 하나는 Phorpiex 봇넷으로, 올해 초 발생한 손실로부터 최근 회복했습니다. 감염된 시스템은 시간당 수만 건의 이메일을 보낼 수 있으며, 2019년 말 이러한 시스템의 수는 거의 50만 개에 달했습니다.

Trik으로도 알려진 Phorpiex 봇넷은 10년 이상 활동해 왔으며, 지난 몇 년 동안 두 차례에 걸쳐 긴 시간 동안 보안 침해로 인해 ‘운영 중단’ 상태였습니다. 이번 겨울, 누군가 봇넷의 백엔드 인프라를 하이재킹하고 감염된 호스트의 일부에서 스팸 봇 멀웨어를 제거했으며, 피해자들에게 안티바이러스를 설치하고 시스템을 업데이트하라는 팝업 창을 보여주었습니다. 그럼에도 불구하고 사이버 범죄자들은 다시금 그 효율성을 복원하고 Avaddon 랜섬웨어를 확산시키기 위한 대규모 스팸 캠페인을 시작했습니다. 과거에는 이 봇넷이 반복적으로 색스토션 캠페인, GandCrab 랜섬웨어 배포, Pushdo 트로이 목마 전달, 감염된 호스트에서 암호화폐 채굴에 사용된 적이 있습니다(이러한 대규모 메일 발송 파동 중 일부는 캠페인당 2,700만 건의 이메일을 기록했습니다). 새로운 위협 탐지 Sigma 규칙은 Osman Demir 에 의해 제출되었으며, 보안 솔루션이 최근 발견된 Phorpiex 봇넷 샘플의 설치를 밝혀낼 수 있도록 합니다: https://tdm.socprime.com/tdm/info/3MbqhCMu2lQ7/SsQ7OHMBPeJ4_8xc3syx/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK:

전술: 초기 접근

기술: 스피어 피싱 첨부 파일 (T1193)

SOC Prime TDM을 사용해볼 준비가 되셨나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하세요 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유합니다.