제스터 스틸러 멀웨어 탐지: UAC-0104 해킹 그룹에 의해 확산되는 피싱 공격 정보 탈취 멀웨어

최근 우크라이나에서 새로운 피싱 사이버 공격의 물결이 일어났습니다. APT28 위협 행위자가 퍼뜨리는 공격에 이어서 CredoMap_v2 정보 탈취 악성 소프트웨어또 다른 해킹 그룹이 Jester Stealer라는 악성 소프트웨어를 배포하는 피싱 이메일을 최근 배포했다고 CERT-UA는 보고합니다. 이 최근의 악성 활동은 공격자 행동 패턴을 기반으로 UAC-0104로 추적되었습니다.

UAC-0104에 의한 최신 공격의 Jester Stealer 분석

정보 탈취 악성코드는 공격자가 피해자의 민감한 데이터를 탈취할 수 있게 하며, 피싱과 함께 가장 효과적인 공격 벡터 중 하나로 계속 진화하고 있습니다. 정보 탈취 악성코드 샘플은 일반적으로 웹 브라우저, 메일/FTP/VPN 클라이언트, 암호화폐 지갑, 비밀번호 관리자 등에서 데이터를 탈취합니다. 새로 감지된 Jester Stealer 캠페인은 Cyble Research Labs 에 의해 2022년 2월에 발견된 정보 탈취 악성코드를 활용합니다.

“화학 공격” 주제를 미끼로 사용하여 Jester Stealer로 감염된 피싱 이메일을 통해 최신 사이버 공격에서, 위협 행위자들은 사용자들을 속여 악성 매크로가 포함된 XLS 파일의 링크가 담긴 이메일을 열게 했습니다. 파일을 열고 매크로를 활성화하면, 매크로는 실행 파일을 실행하여 앞서 언급한 정보 탈취 악성코드 종류로 시스템을 추가로 감염시킵니다. 탈취된 데이터는 TOR 네트워크를 포함하여 통계적으로 정의된 프록시 주소를 통해 Telegram 메시징 서비스를 사용하여 공격자와 공유될 수 있습니다. UAC-0104 그룹이 사용하는 정보 탈취 악성코드는 악성코드 분석을 방해하는 일련의 기술을 사용하고 지속성 메커니즘이 없습니다. 일련의 업데이트를 통해 악성코드는 점차 기능을 향상시켰고AES-CBC-256 암호화, 메모리에 로그 저장, 안티-샌드박스 및 안티-VM 기능 지원을 포함합니다. 더욱이 , Jester Stealer는 악성 행위를 완료한 후 자신을 삭제하여 위협 행위자가 탐지에서 벗어나게 합니다.Jester Stealer 악성코드 탐지

InfoSec 전문가들이 Jester Stealer로 인한 감염을 적시에 발견하고 UAC-0104 위협 행위자에 기인한 사이버 공격을 사전 탐지할 수 있도록, SOC Prime의 플랫폼은 아래의 전용 탐지 알고리즘 세트를 제공합니다.

UAC-0104 그룹과 관련된 악성 활동을 탐지하기 위한 Sigma 규칙

사이버 보안 전문가들에게 SOC Prime 플랫폼에 현재 계정으로 로그인하거나 위에 언급된 탐지 콘텐츠에 즉시 접근할 수 있도록 가입을 권장합니다. 플랫폼 기능을 통해 관련 콘텐츠 항목을 #UAC-0104 커스텀 태그를 사용하여 직접 검색할 수 있습니다.

또한, 이 규칙 키트를 활용하면 SOC Prime의

모듈을 사용하여 UAC-0104 그룹의 악성 활동과 관련된 사이버 위협을 검색할 수 있어 탐색이 언제보다 간단해집니다. 모듈을 사용하여 UAC-0104 그룹의 악성 활동과 관련된 사이버 위협을 검색할 수 있어 탐색이 언제보다 간단해집니다. MITRE ATT&CK® 컨텍스트: UAC-0104에 의한 새로운 피싱 공격

Jester Stealer 악성코드를 포함한 최신 UAC-0104 공격에서 공격자의 행동에 대한 통찰을 얻기 위해, 위에서 언급된 Sigma 기반 탐지를 MITRE ATT&CK 프레임워크에 매핑하여 대응 전술과 기술을 다루고 있습니다.

To gain insights into attackers’ behavior behind the latest UAC-0104 attacks involving Jester Stealer malware, the Sigma-based detections referenced above are mapped to the MITRE ATT&CK framework addressing the corresponding tactics and techniques: