파일리스 멀웨어 감지: AveMariaRAT / BitRAT / PandoraHVNC 공격

사이버 범죄자들이 새로운 피싱 캠페인에서 세 가지 파일리스 악성코드 계열을 한 번에 사용하여 마이크로소프트 윈도우 사용자들을 대상으로 하고 있습니다. 피싱 이메일은 신뢰할 수 있는 출처의 결제 보고서를 모방하며 첨부된 마이크로소프트 엑셀 문서를 보도록 요청하는 짧은 메시지를 포함합니다. 이 파일은 무기화된 매크로를 포함하고 있으며, 실행되면 피해자의 민감한 데이터를 훔치기 위한 악성코드를 퍼뜨립니다. 적들은 다음과 같은 악성코드 형태를 배포합니다: BitRAT, PandoraHVNC, 그리고 AveMariaRAT.

파일리스 악성코드 탐지

우리의 유명한 Threat Bounty 개발자 Emir Erdogan 는 process_creation을 통해 피싱 이메일로 드롭된 세 가지 파일리스 악성코드 샘플 중 하나에 감염되었는지 식별할 수 있도록 돕기 위한 Sigma 규칙을 출시했습니다:

AveMariaRAT / BitRAT 및 PandoraHVNC 탐지 via process_creation

탐지는 실행 전술과 명령 및 스크립트 인터프리터(T1059)와 예약된 작업/잡(T1053)을 주 기술로 다루는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 23개 SIEM, EDR & XDR 플랫폼에 사용할 수 있습니다.

Threat Bounty 프로그램에 가입하여 연구자들이 콘텐츠를 수익화하는 유일한 위협 탐지 마켓플레이스에 완벽히 접근하십시오. 25개 이상의 시장 선도 SIEM, EDR, XDR 기술에 맞춘 벤더 간, 툴 간 탐지 콘텐츠 아이템으로 보안 무기를 업그레이드하십시오. 즉시 접근을 위해 탐지를 보기 버튼을 눌러 SOC Prime의 풍부한 탐지 알고리즘 라이브러리에 즉시 접근하세요.

탐지를 보기 Threat Bounty 가입

파일리스 악성코드 설명

연구원들 Fortinet 는 마이크로소프트 윈도우 사용자를 대상으로 한 일련의 피싱 공격에 대한 조사의 결과를 공유했습니다. 이 피싱 캠페인에서, 위협 행위자들은 신뢰할 수 있는 출처로 위장한 사기 결제 보고서를 발송하며 악성 마이크로소프트 엑셀 문서를 첨부했습니다. 목적은 이메일 수신자가 매크로로 가득찬 파일을 다운로드하도록 유도하는 것입니다. 피해자-to-be가 그것을 열면, 오피스는 매크로를 비활성화하라고 권장하는 보안 경고를 표시합니다. 사용자가 권장 사항을 무시하고 매크로를 활성화하면, 악성코드 침투의 길을 엽니다.

악성코드는 VBA 스크립트와 PowerShell을 사용하여 피해자의 PC에 검색되고 설치됩니다. 이 코드는 세 가지 유형의 악성코드 – AveMariaRAT, BitRAT, 그리고 PandoraHVNC를 나타내는 세 개의 코드 세그먼트를 가집니다. 공격에 희생된 대상은 세 가지 파일리스 악성코드 계열을 받게 되며, 이는 기밀 정보를 훔치고 다른 악의적인 작업을 수행하기 위해 사용됩니다.

현재, 악성 매크로의 사용이 증가하고 있습니다. SOC Prime이 제공하는 예방적인 사이버 방어 솔루션을 통해 보안 팀은 효율적인 탐지와 신속한 침해 차단 가능성을 높일 수 있습니다. 185,000개 이상의 탐지 규칙, 파서, 검색 쿼리 및 기타 콘텐츠 항목을 활용하여 보안 솔루션을 피하는 사이버 위협을 퇴치하시기 바랍니다. 이 모든 것이 CTI, MITRE ATT&CK 참조, CVE 설명 및 더 관련 있는 맥락 정보를 포함하여 사용할 수 있습니다. 위협 탐지 마켓플레이스 SOC Prime의 플랫폼 저장소에.

초보 및 전문 SOC 전문가들은 또한 접근하여 사이버 라이브러리 를 통해 SIEM 하드 스킬을 마스터하고, 심층 교육 영상을 시청하며 위협 사냥에 관한 실무 가이드를 따라잡을 수 있습니다.