GuLoader 탐지: 악성코드가 피싱 이메일을 통해 미국 금융기관을 노린다

세금 시즌이 무르익으면서, 위협 행위자들이 금융 기관에 눈을 돌리고 있습니다. 최신 사이버 보안 보고서에 따르면, 미국의 회계 회사 및 기타 금융 기관들이 2022년 3월부터 GuLoader 악성코드를 퍼뜨리는 일련의 적대적 캠페인의 피해자가 되었다고 합니다. 위협 행위자들은 피싱 공격 벡터와 세금 테마의 미끼를 활용하여 GuLoader 악성 샘플을 퍼뜨리고 있습니다.

GuLoader 공격 탐지

세금 시즌을 이용하여, 위협 행위자들은 피해자를 유혹하고 가치 있는 금융 데이터를 접근하기 위해 정교한 공격과 사회 공학의 결합을 시도합니다. 중요한 조직 자산을 보호하고 잠재적인 침입을 신속히 식별하기 위해, 보안 실무자들은 신뢰할 수 있는 탐지 콘텐츠 소스를 필요로 합니다.

SOC Prime의 Detection as Code 플랫폼은 최신 GuLoader 변형을 탐지하기 위한 일련의 Sigma 규칙을 제공하며, 이는 세금 미끼를 활용하여 미국의 금융 기관을 대상으로 하는 악성 다운로드 프로그램입니다:

레지스트리 이벤트를 통한 속성 값 검색을 위해 레지스트리를 수정하여 GuLoader 지속 가능성을 높입니다. (via registry_event)

우리의 날카로운 Threat Bounty 개발자가 작성한 이 규칙은, 속성 값을 검색하기 위해 PowerShell 명령을 실행하여 레지스트리 실행 키를 수정함으로써 의심스러운 GuLoader 악성코드 활동을 탐지합니다. 이 탐지는 20개의 SIEM, EDR, XDR 솔루션과 호환되며 Nattatorn Chuensangarun 에 의해 작성되었습니다. the MITRE ATT&CK® 프레임워크 에 맞춰 방어 회피 방법론을 address하며 Modigy Registry (T1112)를 해당 기술로 삼고 있습니다.

금융 부문을 표적으로 하는 관련 명령 탐지를 통한 의심스러운 GuLoader 악성코드 실행 (via ps_script)

두 번째 Sigma 규칙은, GuLoader 악성코드가 악성 기능을 실행하는 데 사용하는 의심스러운 명령을 탐지합니다. 이 탐지 알고리즘은 16개의 업계 선도적 보안 분석 플랫폼 전체에 적용될 수 있으며, ATT&CK에 맞춰 수행과 명령 및 스크립트 인터프리터 ( Onur Atali) 기술을 address합니다.T1059) 기술을 address합니다.

신입 및 경력 있는 사이버 보안 전문가 모두 SOC Prime Threat Bounty 프로그램 에 참여하여 동료들과 탐지 콘텐츠를 작성 및 공유하며 집단 지능을 풍부하게 하고 콘텐츠 기여를 통해 수익을 올릴 수 있습니다.

빠르게 진화하는 GuLoader 악성코드와 그 탐지 회피 기술의 개선으로, 진보적인 조직들은 감염을 신속히 식별하기 위해 방어 역량을 강화하려고 노력하고 있습니다. GuLoader 악성코드의 전체 탐지 스택, MITRE ATT&CK 참조, CTI 링크, 그리고 기타 관련 메타데이터를 확인하려면 탐지 탐색 버튼을 클릭하세요.

탐지 탐색

GuLoader 로더 악성코드는 CloudEyE로도 알려져 있으며, 최근에 미국 금융 부문을 대상으로 한 적대적 캠페인에서 관찰되었습니다. 이러한 공격에서 위협 행위자들은 세금 테마의 피싱 미끼를 적용하여 악성코드 샘플을 퍼뜨리고 있습니다.

GuLoader는 안티 분석 및 탐지 회피 기술 세트를 활용하는 가장 정교한 로더 중 하나로 여겨집니다. 이 로더는 인포스틸러와 RAT와 같은 다른 악성 샘플을 전달할 수도 있습니다. 예를 들어, COVID-10 팬데믹 동안 증가하는 피싱 공격과 함께 GuLoader는 FormBook 트로이 목마 를 감염 시스템에 배포하는 데 사용되었습니다. 최신 GuLoader 버전은 난독화된 VBS 및 PowerShell을 적용하여 Remcos RAT와 같은 추가 악성 샘플을 드롭합니다. 정당한 프로세스로 코드 주입이 위협 행위자들이 안티바이러스 도구 및 기타 보안 보호 유틸리티를 우회할 수 있게 하여 사이버 방어자에게 도전 과제를 제기합니다.

eSentire의 Threat Response Unit 의 조사는 피싱 공격 벡터를 활용하는 진행 중인 GuLoader 악성코드 캠페인에 대한 일부 조명을 제공합니다. 이 공격들은 2022년 봄 초에 처음 관찰되었고, 세금 시즌에 피싱 이메일을 사용하여 감염 체인을 트리거합니다. 악성 이메일에는 Adobe Acrobat으로 연결되는 미끼 링크가 포함되어 있어, 타겟 사용자가 비밀번호 보호된 파일 아카이브를 다운로드할 수 있게 합니다. 후자는 PDF 문서로 가장된 LNK 파일과 미끼 이미지를 함께 제공하며, PowerShell을 사용하여 감염 시스템에 추가 페이로드를 배포하는 데 이를 사용할 수 있습니다. 설치되면, GuLoader는 레지스트리 실행 키를 사용하여 지속성을 얻습니다. 성공적으로 설치된 악성 코드는 적대자들에게 타겟 시스템을 완전히 손상시키고 추가적인 악성코드 캠페인을 시작할 수 있는 초록불을 줍니다.

증가하는 피싱 공격의 양 때문에, 조직들은 사이버 보안 인식을 높이고 시스템이 최신 안티바이러스 소프트웨어 및 기타 보안 보호 도구가 설치되어 있는지 확인하기 위한 방법을 찾고 있습니다. 전체 피싱 공격 탐지 Sigma 규칙 목록을 탐색하고 모든 탐지가 27개 이상의 SIEM, EDR, XDR 솔루션으로 자동 변환되며 실행 가능한 사이버 위협 컨텍스트로 풍부하게 업데이트되도록 SOC Prime의 방대한

지식 베이스를, 초단위 성능으로 검색 및 업데이트하여 탐색하세요. knowledge base, searchable and updated at sub-second performance, to explore the entire list of Sigma rules for phishing attack detection, with all the detections automatically convertible to 27+ SIEM, EDR, and XDR solutions and enriched with actionable cyber threat context.