JSOutProx 원격 접근 트로이 목마

작년에 인도가 가장 많이 사이버 공격을 받은 국가로 지목되었습니다. 석유 및 가스 산업의 중요한 인프라와 방위, 은행, 제조업 부문이 가장 일반적인 대상으로 나열되었습니다. 

2020년 4월, 인도의 정부 기관과 여러 은행이 악성 JavaScript와 Java 기반 백도어를 전달하는 이메일 캠페인에 표적이 되었습니다. 이는 나중에 JsOutProx RAT과 연관되었습니다.

공격자들은 악성 이메일에서 모든 은행 수신자와 관련된 주제를 활용하여 메일을 더욱 합법적으로 보이게 했습니다. 서로 다른 캠페인에서 발송된 악성 이메일의 인프라 분석을 바탕으로, 연구원들은 이를 하나의 위협 행위자에게 귀속시켰습니다. 

JsOutProx 분석에서도 스크립트가 다양한 환경에서 실행될 수 있음을 보여주었습니다. 이전 JsOutProx 공격과 비교하여, 최신 공격에서는 위협 행위자가 웹 서버 환경을 포함한 다양한 배포 방법을 활용합니다. 스크립트는 C2 서버로부터 받은 여러 명령을 실행하여 피해 시스템을 조작하고, PowerShell 플러그인 및 백도어를 제거하는 등의 작업을 수행할 수 있습니다. 최근의 스탬프는 실행을 지연시킬 수도 있으며, 최종적으로 배포되면 초기화 루틴을 실행하여 민감한 정보를 수집하고 HTTP POST 요청으로 명령 제어 서버에 전송합니다. 

Ariel Millahuel 이 JSOutProx RAT 활동을 탐지하기 위해 Sigma 규칙을 만들었습니다 (Sysmon 탐지): https://tdm.socprime.com/?dateFrom=0&dateTo=0&searchProject=content&searchType[]=name&searchSubType=&searchQueryFeatures=false&searchValue=jsoutprox+rat+(sysmon+detection)

이 규칙은 다음 플랫폼에 대한 번역을 포함합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 영향, 방어 회피, 지속성

기술: 난독화된 파일 또는 정보 (T1027), 레지스트리 실행 키 / 시작 폴더 (T1060), 시스템 종료/재부팅 (T1529)

SOC Prime TDM을 시도할 준비가 되셨나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여 하여 자신의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.