이메일을 통해 대규모로 유포되는 RelicRace 및 RelicSource 맬웨어를 이용한 Formbook 및 Snake Keylogger 정보 탈취자

[post-views]
7월 26, 2022 · 4 분 읽기
이메일을 통해 대규모로 유포되는 RelicRace 및 RelicSource 맬웨어를 이용한 Formbook 및 Snake Keylogger 정보 탈취자

현재 우크라이나 조직을 대상으로 하는 피싱 이메일 공격 벡터를 활용한 정보 탈취 공격이 증가하고 있으며, 일주일 전보다 더 짧은 시간 동안 악성 캠페인이 확산되고 있습니다. AgentTesla 스파이웨어 우크라이나 주 정부 기관을 표적으로 삼고 있습니다. 2022년 7월 25일, CERT-UA는 새로운 주의 사항 을 발표하며 민감한 데이터를 훔치기 위해 사용되는 Formbook 및 Snake Keylogger 악성 페이로드의 대량 배포를 목표로 한 진행 중인 이메일 캠페인에 대해 전 세계 사이버 수비 커뮤니티에 경고했습니다. 이 최신 사이버 공격에서 위협 행위자들은 금융 관련 이메일 제목과 동일한 이름의 악성 아카이브 첨부 파일을 사용하여 잠재적 피해자들이 이메일 내용을 열어보도록 유인합니다. 공격자들은 RelicRace 및 RelicSource로 식별되는 악성 .NET 기반 다운로더를 사용하여 악성 프로그램 샘플을 전달합니다. 연구에 따르면, 이 악성 활동은 UAC-0041 해킹 집단의 행동 패턴에 기인할 수 있습니다.

Formbook & Snake Keylogger 배포: 사이버 공격 분석

최신 사이버 공격은 CERT-UA#5056 경보 와 관련이 있으며, 우크라이나 조직을 표적으로 한 이전 악성 캠페인에서도 IcedID 트로잔을 확산시킨 것으로 알려진 UAC-0041 위협 행위자들의 활동으로 연관됩니다. IcedID 트로잔은 악명 높은 정보 탈취 악성 프로그램입니다. 특히, 동일한 해킹 그룹은 우크라이나 조직을 표적으로 한 이전의 악성 캠페인에서 AgentTesla 및 XLoader 악성 프로그램 샘플의 배포와도 관련이 있었습니다.  AgentTesla and XLoader malware samples in the previous malicious campaigns targeting Ukrainian organizations. 

2022년 7월 19일부터 주목 받게 된 진행 중인 피싱 캠페인에서는 TGZ 압축 아카이브 파일 형식의 악성 첨부 파일과 함께 이메일을 대량 배포합니다. 이 TGZ 아카이브에는 RelicRace으로 식별된 .NET 기반 다운로더 실행 파일이 포함되어 있으며, 이는 비밀리에 시스템에 RelicSource 악성 프로그램을 다운로드하고 실행하는 데 사용됩니다. 후자는 XOR, DES, AES 등 여러 암호화 형식으로 저장된 데이터를 해독하고 Formbook 및 Snake Keylogger 페이로드를 주입 및 실행할 수 있는 악성 프로그램 설치 소프트웨어입니다. 이 악성 프로그램은 탐지를 피하기 위해 복잡한 지속성 및 분석 방지 기술을 적용하며, 사이버 수비 팀이 감염을 적시에 식별하기 어렵게 만듭니다. 

Fortinet의 FortiGuard Labs에 따르면 , 우크라이나를 대상으로 한 이번 사이버 공격에서 대량으로 배포된 악명 높은 Snake Keylogger는 2020년 말 사이버 위협 아레나에서 처음 포착된 .NET 기반 악성 프로그램입니다. 이 악성 프로그램은 사용자 자격 증명, 키 입력, 스크린샷, 클립보드 데이터 등 민감한 데이터를 탈취하도록 설계되었습니다. 2021년 7월에 Snake Keylogger는 전 세계적으로 더 많은 타협 사용자를 영향받는 가장 인기 있는 악성 프로그램 패밀리 10위 안에 들었습니다. , the notorious Snake Keylogger massively distributed in the ongoing cyber-attack against Ukraine is a .NET-based malware that was first spotted in the cyber threat arena in late 2020. The malware is designed to steal sensitive data, such as users’ credentials, keystrokes, screenshots, and clipboard data. In July 2021, Snake Keylogger was among the top 10 most popular malware families impacting more compromised users across the globe. 

CERT-UA 연구에서 다룬 최신 사이버 공격에서 확산된 또 다른 페이로드인 Formbook도 가장 유행하는 정보 탈취 악성 프로그램 샘플에 속하며, 악명 높은 Trickbot 은행 트로잔을 능가하기도 합니다. Formbook 은 웹 브라우저에서 자격 증명을 훔치고, 키 입력을 모니터 및 기록하고, C&C 서버를 통해 파일을 다운로드 및 실행하기 위한 악성 프로그램으로 2016년 사이버 위협 환경에 나타났습니다. 

UAC-0041 활동 탐지: Formbook 및 Snake Keylogger 감염의 최신 물결을 발견하기 위한 시그마 규칙

우크라이나를 대상으로 한 최신 UAC-0041 공격과 관련된 침입을 사용자가 사전에 탐지할 수 있도록 SOC Prime의 코드로서의 탐지 플랫폼은 큐레이션된 시그마 규칙세트를 제공합니다. 원활한 콘텐츠 검색을 위해 모든 탐지 콘텐츠는 CERT-UA#5056 경보에 명시된 캠페인 개요를 기반으로 ‘CERT-UA#5056’ 태그가 지정됩니다. 

CERT-UA#5056에서 Formbook 및 Snake Keylogger 캠페인 세부 정보를 감지하기 위한 시그마 규칙

UAC-0041 악성 활동을 다루는 전체 탐지 규칙 및 사냥 쿼리 목록을 검토하려면 아래의 탐지 및 사냥 버튼을 누르십시오. 또한 UAC-0041 탐지에 목표를 둔 시그마 규칙을 탐색하고, MITRE ATT&CK® 및 CTI 참조, CVE 설명 등과 같은 광범위한 컨텍스트 메타데이터에 액세스하기 위해 SOC Prime의 사이버 위협 검색 엔진을 탐색할 수 있습니다.

탐지 및 사냥 위협 컨텍스트 탐색

MITRE ATT&CK® 컨텍스트

Formbook 및 Snake Keylogger 배포를 목표로 한 UAC-0041 사이버 공격의 컨텍스트를 통찰하기 위해, 위에서 참조한 시그마 규칙은 다음과 같이 MITRE ATT&CK® 프레임워크 와 정렬되어 있으며, 해당 전술과 기술을 다루고 있습니다:

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 5 분 읽기 최신 위협 Koske 악성코드 탐지: AI로 생성된 새로운 리눅스 위협 by Veronika Telychko AI 위협 인텔리전스 10 분 읽기 SIEM & EDR AI 위협 인텔리전스 by Veronika Telychko 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 4 분 읽기 최신 위협 사이버락, Lucky_Gh0$t 및 Numero 탐지: 해커들이 가짜 AI 도구 설치 프로그램을 랜섬웨어 및 멀웨어 공격에 무기로 사용 by Veronika Telychko
모든 뉴스