EAGERBEE 악성코드 탐지: 새로운 백도어 변종이 중동의 인터넷 서비스 제공자 및 국가 기관을 표적으로 삼다
목차:
더 발전된 재등장 직후에, NonEuclid RAT 변종이 사이버 위협 분야에서, Eagerbee 백도어라는 새로운 유형의 악성 소프트웨어가 중동 지역의 조직에 점점 더 위협을 가하고 있으며, 주로 인터넷 서비스 제공자(ISP)와 국가 기관을 대상으로 하고 있습니다. 향상된 EAGERBEE 백도어 변종은 페이로드를 배포하고, 파일 시스템을 스캔하며, 명령 셸을 실행할 수 있어 그 공격 능력의 상당한 진화를 보여줍니다.
EAGERBEE 악성 소프트웨어 감염 탐지
2024년에는 전 세계적으로 사이버 공격이 증가했으며, 조직들은 평균 1,308회의 공격 을 주당 경험했습니다. 또한, 악성 소프트웨어 변종과 공격 기법의 다양성도 증가하고 있으며, 연구자들은 2023년에 비해 전 세계 악성 소프트웨어의 양이 30% 증가했다고 기록했습니다. 공격 표면이 확장되고 침투 방법이 더 정교해짐에 따라 잠재적 침입을 사전에 탐지하는 일은 점점 더 어려운 도전이 되고 있습니다.
사이버 방어자들이 침입을 초기에 발견할 수 있도록 돕기 위해, SOC Prime 플랫폼 은 집단적인 사이버 방어를 위한 세계 최대 규모의 탐지 알고리즘 컬렉션을 제공하며, 최신 위협 탐지 및 사냥 도구 세트를 지원합니다.
아래의 탐지 항목 탐색 버튼을 클릭하여 EAGERBEE 감염을 처리하는 Sigma 규칙의 큐레이션 세트를 활용하세요. 모든 규칙은 MITRE ATT&CK 프레임워크 에 매핑되어 있으며, 30개 이상의 SIEM, EDR, 및 데이터 레이크 솔루션과 호환됩니다. 또한, 탐지 항목은 CTI 참조, 공격 타임라인, 감사 구성 등 다양한 메타데이터로 풍부하게 보강됩니다.
보안 엔지니어는 또한 Uncoder AI 를 활용하여 EAGERBEE 공격에서 확인된 적대자의 TTP에 대한 IOC 패키징과 회고적 분석을 간소화할 수 있습니다. 다양한 SIEM, EDR, 및 데이터 레이크 언어와 호환되는 맞춤형 쿼리로 IOC를 즉시 변환합니다.
EAGERBEE 악성 소프트웨어 분석
사이버 보안 연구원들은 공격자들이 중동의 ISP 및 정부 기관을 목표로 사용하는 EAGERBEE 악성 소프트웨어 프레임워크의 새로운 버전을 발견했습니다. 최신 버전의 EAGERBEE(일명 Thumtais) 백도어는 백도어 배포를 위한 서비스 주입기와 페이로드 전달, 파일 접근 및 원격 제어를 위한 플러그인을 포함하여 더욱 정교한 기능을 특징으로 하며, 이는 눈에 띄는 발전을 의미합니다.
가장 최근의 악성 소프트웨어 버전의 사용은 CoughingDown으로 추적된 해킹 그룹에 중간 확신으로 귀속됩니다. EAGERBEE는 처음에 Elastic Security Labs에 의해 국가 후원의 사이버 스파이 그룹으로 알려진 REF5961과 연결되어 식별되었습니다. 이는 동남아시아 정부 기관에 대한 사이버 스파이 공격에서 관찰되었고, Sophos가 추적한 중국 국가 후원 해킹 집단으로 “Crimson Palace”로 명명되었습니다. EAGERBEE는 동아시아의 여러 조직에도 배포되었으며, 두 곳은 Exchange 서버의 악성 ProxyLogon 취약성(CVE-2021-26855)을 통해 침해되었습니다. 침해 이후, 악성 웹셸이 업로드되어 영향을 받은 서버에서 명령을 실행하는 데 사용되었습니다.
EAGERBEE를 무기화한 최신 공격 작전에서는 인젝터 DLL이 백도어를 실행하여 시스템 데이터를 수집하고 TCP 소켓을 통해 원격 서버로 추출합니다. 여전히 정확한 진입 지점은 불분명하지만, 서버는 시스템 데이터를 보고하고 실행 중인 프로세스를 관리하는 플러그인 오케스트레이터로 응답합니다. 또한, 파일 작업, 프로세스 관리, 원격 연결 및 시스템 서비스를 위한 명령을 실행하는 플러그인을 주입, 언로드 및 관리합니다.
EAGERBEE는 전통적인 보안 조치를 회피할 수 있도록 지속적으로 은폐를 강화합니다. 합법적인 프로세스에 악성 코드를 삽입함으로써, 일반적인 셸 활동을 감지하기 어렵게 만들어 탐지를 더 어렵게 만듭니다. 악성 소프트웨어의 지속적인 발전은 향상된 사이버 보안 인식과 적극적인 방어의 중요성을 강조합니다. 집단적인 사이버 방어를 위한 SOC Prime 플랫폼 은 산업 벡터 전반에 걸친 조직과 개별 연구자에게 최신 솔루션을 제공하여 신종 악성 소프트웨어 변종 및 빠르게 증가하는 APT 공격 등을 포함한 사이버 위협을 극복할 수 있도록 지원합니다.
