Ducktail 정보탈취 악성코드 탐지: 범죄 해커들이 새로운 악성코드로 비즈니스 계정을 탈취하다

재정적 동기를 가진 범죄 해커들이 Ducktail이라는 새로운 정보 도용 툴을 활용하여 브라우저 쿠키를 탈취하고 피해자의 Facebook 비즈니스 계정을 장악합니다. 증거에 따르면 이 캠페인의 배후에 있는 적은 베트남에 기반을 두고 있으며 주로 인사, 경영, 마케팅 분야에서 일하는 전문가를 대상으로 하고 있습니다. Ducktail 캠페인의 적극적인 개발 시작은 2021년 하반기로 거슬러 올라갈 수 있습니다.

적들은 Linkedin에서 피해자를 대상으로 한 스피어 피싱 캠페인을 통해 악성코드를 전파합니다.

Ducktail 맬웨어 캠페인 탐지

시스템이 잠재적인 표적이 되지 않도록 정보 도용 툴 Ducktail과 같은 정보 도용 툴의 경우, 전용 Sigma 규칙 숙련된 콘텐츠 기여자인 Aytek Aytemur가 릴리스한:

새로운 Ducktail 정보 도용 맬웨어 (프로세스 생성 경유)

탐지는 24개의 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 제공합니다. 규칙은 MITRE ATT&CK® 프레임워크 v.10과 정렬되어 있으며, 주로 프로세스 인젝션(T1055), 사용자 실행(T1204), 웹 서비스(T1102) 기술을 사용하여 방어 회피, 실행 및 명령 및 제어 전술을 다룹니다.

경험 많은 위협 추적자와 초심자 모두 SOC Prime의 위협 보상 프로그램 에 가입하여 전문적인 지침과 안정적인 수입을 획득할 수 있습니다.

Emerging threats에 대해 잘 알고 싶다면 SOC Prime 플랫폼의 위협 탐지 마켓플레이스 리포지토리에서 정보 도용 맬웨어의 위협 탐지 콘텐츠 업데이트를 확인하세요. ” 탐지 보기 ” 버튼을 누르면 26개 이상의 SIEM, EDR, XDR 솔루션으로 번역된 방대한 규칙 라이브러리로 이동합니다. 업계 선도 검색 엔진에서 위협 헌팅, 위협 탐지 및 사이버 위협 인텔리전스를 검색하여 즉시 관련 Sigma 규칙에 도달하십시오. 이 규칙은 MITRE ATT&CK 및 CTI 참고 자료, CVE 설명, 탐지에 연결된 실행 가능 바이너리 등과 같은 문맥적 메타데이터를 포함하여 클릭만으로 확인할 수 있습니다. ” 위협 컨텍스트 탐색 ” 버튼을 클릭하여 정보를 얻을 수 있습니다.

감지 및 헌트 위협 컨텍스트 탐색

Ducktail 분석

Ducktail이라는 악성코드 캠페인은 WithSecure의 분석가들에 의해 상세히 설명되었습니다. 관찰된 공격을 바탕으로, Ducktail 운영자들은 Facebook의 비즈니스 및 광고 플랫폼에 대한 관리자 접근 권한을 가진 기업 사용자를 목표로 하고 있으며, Dropbox, Apple iCloud, MediaFire에 호스팅된 가짜 Facebook 광고 정보를 다운로드하도록 유도합니다. Ducktail 캠페인의 위협 행위자들이 무기화된 아카이브 파일을 보내 링크드인에서 악성코드를 배포하는 사례도 있습니다. 공격은 글로벌 여러 산업 수직군에 걸쳐 광범위한 피해자를 대상으로 이루어질 수 있습니다.

Ducktail 정보 도용 맬웨어는 .NET Core로 작성되었습니다. 적들은 명령 및 제어 통신과 데이터 탈취를 위해 Telegram을 사용합니다. 피해자가 이 맬웨어를 실행하면 감염된 장치에 설치된 브라우저를 검색하여 저장된 쿠키와 모든 관련 Facebook 데이터를 탈취합니다. 이 맬웨어는 또한 백그라운드에서 무한 루프를 실행하여 지속적인 탈취 프로세스를 설정합니다.

현대 사이버 무기 경쟁에서 범죄 해커가 실행하는 공격에 대한 적시 대응은 회사의 재정 및 명성 손실을 막을 수 있습니다. SOC Prime 에 가입하여 방어력을 강화하고 집단적 사이버 보안 전문 지식의 힘으로 위협 탐지를 혁신하십시오.