FoxBlade 트로얀 탐지: Microsoft, 우크라이나 인프라를 노리는 새로운 파괴적 멀웨어 공개

2022년 2월 23일, 러시아의 우크라이나 침공 직전에 데이터 삭제를 포함한 사이버 공격의 급증 이후 단기간에 우크라이나에 새로운 디지털 위협이 닥쳤습니다. WhisperGate and HermeticWiper 악성코드 변종들이 우크라이나 단체를 목표로 했습니다. Microsoft Security Intelligence Center는 금융, 농업, 응급 대응 서비스, 에너지 부문과 폭넓은 산업을 대상으로 하는 새로운 FoxBlade 악성코드를 활용한 일련의 공격을 발견했습니다. — 국가의 민간 및 IT 인프라를 완전히 불안정하게 만들기 위해 목표로 삼았습니다. 사이버 노력이 다양한 민감한 데이터와 정부 데이터 세트를 탈취하기 위해 겨냥되었습니다.

FoxBlade 악성코드 탐지 및 완화

FoxBlade 악성코드와 관련된 의심스러운 활동을 탐지하기 위해, 위협 현상금을 제공하는 개발자 Osman Demir가 작성한 Sigma 규칙을 몇 가지 다운로드할 수 있습니다. 두 가지 규칙은 SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있습니다. 신규 및 기존 사용자는 플랫폼에 가입하여 탐지 콘텐츠에 접근하거나 기존 계정을 사용할 수 있습니다:

FoxBlade 악성코드 우크라이나 대상 공격 (via process_creation)

이 탐지는 Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix 플랫폼에 대한 번역을 제공합니다.

우크라이나를 목표로 사용된 새로운 FoxBlade 악성코드 (via registry_event)

이 Sigma 기반 탐지는 Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch 플랫폼에 대한 번역을 제공합니다.

두 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰 방어 장해 (T1562) 및 방어 회피 (TA0005) 기술, 도구 비활성화 또는 수정 (T1562.001) 하위 기술을 다루고 있습니다.

또한, FoxBlade 공격에 선제적으로 방어하고 인프라 내 위험을 최소화하기 위해 무료 Microsoft 소프트웨어를 사용할 수 있습니다:

• Windows 7 및 Windows Vista용 Windows Defender 또는 Microsoft Security Essentials
• Microsoft Safety Scanner

보안 작업자는 악성 행동 패턴을 탐지하기 위해 FoxBlade 악성코드 및 다른 숨겨진 위협도 전체 스캔을 실행하는 것이 권장됩니다.

SOC Prime 사용자는 러시아 관련 사이버 위협을 식별하기 위한 전체 탐지 스택에 무료로 접근할 수 있습니다. 간단히 가입하거나 현재 SOC Prime 계정에 로그인하고, 빠른 검색을 선택한 다음 환경에서 관련 위협을 검색하세요:

러시아 후원 사이버 공격에 대한 위협 사냥 콘텐츠 전체 목록

FoxBlade 분석

FoxBlade 트로이 목마 공격에 대한 첫 번째 세부 사항은 Microsoft의 위협 인텔리전스 센터 (MSTIC)에 의해 2022년 2월 23일에 공유되었습니다.

FoxBlade라는 이름의 악성코드는 경량 트로이 목마이자 데이터 제로화 프로그램으로 주로 우크라이나의 민간 디지털 서비스를 대상으로 했습니다. 이 데이터 파괴 알고리즘은 자격 증명 및 개인 데이터를 탈취하기 위해 설계되었습니다. 공격자들은 주로 Microsoft SQL Server의 알려진 취약점(CVE-2021-1636)을 악용하여 이를 패치하지 않은 모든 기계가 위험에 처할 수 있었습니다.

또한 Microsoft에 따르면, FoxBlade는 소유자의 지식 없이 피해자의 장치를 DDoS 공격에 노출시킵니다. 초기 접근 방법은 다양했지만, 연구자들은 적어도 한 번은 지우개가 기본 도메인 정책을 통해 내려갔다고 지적하며, 이는 감염된 컴퓨터의 Active Directory 서버에 접근했을 가능성을 의미합니다.

추가 분석은 다음과 같습니다:

• 악성코드는 PowerShell 명령을 실행하는 Tomcat 익스플로잇을 사용합니다.
• 지우개 로더는 Hermetica Digital Ltd.에 발행된 인증서로 서명된 .exe 파일입니다.
• 이 파일은 Lempel-Ziv 알고리즘으로 압축된 32비트 및 64비트 드라이버 파일을 포함합니다.
• 드라이버 파일은 정품 EaseUS Partition Master 소프트웨어에 발행된 인증서로 서명된 후, 지우개의 프로세스 ID를 사용해 파일 이름이 생성됩니다.
• 마지막으로, 지우개는 피해자의 장치를 재부팅하여 메인 부트 레코드를 손상시키고 장치를 사용할 수 없게 만듭니다.

SOC Prime의 Detection as Code 플랫폼에 가입하여 글로벌 사이버 보안 전문가 커뮤니티의 힘으로 위협 탐지 기능을 강화하세요. 또한 협력적 전문 지식을 강화하여 SOC Prime의 크라우드소싱 이니셔티브 에 기여할 수 있습니다. Sigma 규칙을 작성해서 플랫폼에 게시하고, 기여에 대해 반복적으로 보상받으세요.을(를) 기여할 수 있습니다. Sigma 규칙, 플랫폼에 게시하고, 기여에 대해 반복적으로 보상받으세요.