가짜 개념 증명(POC) 탐지: 정보보안 커뮤니티를 노리는 사이버 공격이 Windows CVE-2022-26809 취약점을 악용하여 Cobalt Strike Beacon 전달

연구원들은 악명 높은 Cobalt Strike Beacon 멀웨어 를 전파하기 위해 새로 패치된 Windows 취약점의 가짜 개념 증명(POC) 익스플로이트를 통해 국제 정보 보안 커뮤니티에 새로운 멀웨어 캠페인을 경고합니다. GitHub에서 가짜 익스플로이트의 공개 이용 가능성은 전 세계 오픈 소스 개발 플랫폼 사용자 수백만 명을 심각한 위험에 노출시키고 있습니다. 

Cobalt Strike Beacon 멀웨어를 전파하는 가짜 POC 익스플로이트 탐지  

보호를 유지하려면 정보 보안 실무자가 중요한 CVE에 대한 새로운 보안 패치를 지속적으로 추적하고, 종종 GitHub와 같은 신뢰할 수 있는 플랫폼에서 사용할 수 있는 POC 익스플로이트에 의존하기 때문에 가짜 익스플로이트 코드 공개와 같은 사례는 사이버 방어 관점에서 특별한 주의가 필요합니다. SOC Prime의 Detection as Code 플랫폼은 특히 까다로운 사용 사례에서도 글로벌 사이버 보안 커뮤니티의 관심사를 큐레이션하여 팀에게 중요한 위협에 대한 탐지 콘텐츠를 제공합니다. CVE-2022-26809 결함의 가짜 POC를 사용하는 이번 최신 적대적 캠페인에서 전달된 Cobalt Strike Beacon 멀웨어 변종을 식별하려면, 숙련된 위협 보상 개발자인 Osman Demir:

에 의해 작성된 전용 Sigma 규칙을 탐색하십시오. [정보 보안 커뮤니티를 타겟팅하는] 사용자 에이전트와 관련된 탐지에 의한 가짜 CVE-2022-26809 개념 증명 전달 (프록시 경유)

이 큐레이팅된 헌팅 쿼리는 18개의 업계 선도적인 SIEM, EDR, XDR 솔루션과 호환되며, MITRE ATT&CK® 프레임워크와 정렬되어 명령 및 제어 전술 레퍼토리의 애플리케이션 계층 프로토콜(T1071) 기술을 다룹니다. 보안 실무자는 또한 SOC Prime의 Quick Hunt 모듈. 

을 통해 이 쿼리를 환경에 즉시 실행할 수 있습니다. CVE-2022-26809 취약점과 관련된 전체 탐지 스택에 액세스하고 적절히 태그를 보기 위해 아래의 탐지 보기 버튼을 클릭하십시오. SOC Prime의 Detection as Code 플랫폼에 로그인하거나 포괄적인 탐지 알고리즘 모음을 이용하려면 첫 경험을 위해 가입하십시오. 새로운 방식으로 전문 기술을 향상시키고 협업 전문가 지식에 기여하고자 하는 진보적인 위협 헌터와 탐지 엔지니어는 전 세계 커뮤니티와 탐지 콘텐츠를 공유하고 입력에 대해 반복적인 보상을 받기 위해 Threat Bounty 프로그램에 가입할 수 있습니다.

탐지 보기 Threat Bounty 가입

멀웨어를 전달하는 가짜 POC 익스플로이트: 최근 Cobalt Strike Beacon을 확산하는 공격 분석

Cyble 연구원들은 최근 악성 샘플을 GitHub 저장소에 호스팅하여 Windows 결함 CVE-2022-26809로 식별된 9.8의 CVSS 점수를 가진 가짜 POC 익스플로이트를 조사했습니다. Windows flaw identified as CVE-2022-26809 with CVSS score of 9.8. 원격 프로시저 호출(RPC) 런타임 라이브러리의 CVE-2022-26809 취약점은 해당 호스트에 특수한 RPC 호출을 보내 착취할 수 있습니다. 한 달 전, Microsoft는 이 결함을 해결하기 위한 권고 사항 을 발표하고 이를 해결하기 위한 세부 정보와 제시된 완화 조치를 제공했습니다.

위에서 언급된 연구는 또한 동일한 적대적 프로파일에 속하는 CVE-2022-24500 익스플로잇 코드로 가장한 또 다른 가짜 POC GitHub 저장소를 밝혔습니다. fake POC GitHub repository disguised as the CVE-2022-24500 exploit code belonging to the same adversary profile. 수행된 분석에 따르면, 위협 행위자(TA)는 Cobalt Strike Beacon 멀웨어를 제공하기 위해 가짜 POC를 사용하여 글로벌 사이버 보안 커뮤니티를 타겟으로 삼았습니다. 멀웨어는 PowerShell 명령을 실행하여 Cobalt Strike Beacon 페이로드를 배포하며, 이는 공격자가 손상된 시스템에서 다른 페이로드를 실행할 수 있는 감염 체인을 유발할 수 있습니다. 조사 결과 GitHub에 호스팅된 악성 코드 내에 앞서 언급된 Windows 취약점의 익스플로이트 흔적은 없는 것으로 나타났습니다. 멀웨어는 단순히 익스플로이트 시도와 쉘코드를 실행하려는 가짜 메시지를 표시합니다.

Cobalt Strike Beacon은 우크라이나 국가 기관을 타겟으로 한 이번 봄의 피싱 캠페인에서 적극적으로 전달되는 기본 멀웨어 페이로드이며, SaintBear 위협 그룹의 사이버 공격 에 포함되어 있으며, 여기에 두 가지 다른 멀웨어 스트레인, GrimPlant 및 GraphSteel 백도어의 배포도 포함된 감염 체인도 함께 포함되어 있었습니다.

사이버 보안 위생의 모범 사례에 따라 정보 보안 실무자는 공개적으로 이용 가능한 자원에서 POC를 사용하기 전에 다운로드 소스가 신뢰할 수 있다는 것을 확신해야 합니다. POC 익스플로이트로 가장한 멀웨어와 같은 정교한 사이버 공격은 전체 정보 보안 커뮤니티의 사이버 보안 인식을 향상시키고 협력적 사이버 방어의 역할을 강조하여 적대적 캠페인에 맞서 싸우는 강력한 원천이 됩니다. SOC Prime의 플랫폼 은 협력적 사이버 방어의 힘을 혁신으로 바꾸어 팀이 성숙도 수준과 사용 중인 보안 도구에 관계없이 공격자보다 앞서 나갈 수 있도록 Detection-as-Code 운영을 지원합니다.