최신 Zloader 캠페인, 마이크로소프트 서명 검증 악용

Zloader (Terdot와 DELoader로도 알려져 있음)은 전 세계를 휩쓸며 은행 시스템의 방어를 회피하고 있습니다. 특히 혼란스러운 Log4j 취약점과 함께 크리스마스 트리 아래에서 발견되기를 기대하지는 않을 것입니다. 연구진에 따르면, Zloader 공격 방식은 규모와 정교함이 점점 커지고 있으며, 다양한 기법과 회피 방법을 채택하고 있습니다. 지난 몇 년 동안, 적대자들은 Zloader 악성코드를 유포하기 위해 다양한 접근 방식과 취약점을 활용했습니다.

Zloader 사이버 공격

로그인 자격 증명과 사용자의 개인 정보를 훔치기 위해 설계된 은행 악성코드인 Zloader가 새로운 감염 체인과 함께 돌아왔습니다. 이 악성코드는 2006년부터 알려진 ZeuS 악성코드 계열에서 비롯된 것으로, Zloader 자체는 2015년에 처음 등장하여 적대자들이 계정 자격 증명 및 기타 유형의 민감한 데이터를 훔치는 것을 가능하게 했습니다. 가장 악명 높은 은행 트로이 목마로 알려진 이 악성코드는 추진력을 얻고 있습니다: 2011년 ZeuS 코드가 유출된 이후로 수많은 Zloader 변종 이 이미 적대자들에 의해 구현되었습니다. 도구의 효과성을 고려할 때, 개발 중인 변종들이 많을 것으로 예상할 수 있습니다.

Microsoft 전자 서명을 악용하는 이 사이버 킬 체인이 2021년 11월에 사이버 갱단 MalSmoke에 의해 시작되었다는 논의가 활발합니다. 새로운 Zloader은행 악성코드 캠페인은 Microsoft의 디지털 서명 검증을 남용하여 서명된 시스템 DLL에 코드를 주입하며, 이미 111개 이상의 국가에서 2200명 이상의 사용자에게 영향을 미쳤습니다.

새로운 Zloader 공격 킬 체인

Check Point의 심층 분석 에 따르면 최신 Zloader 캠페인은 타겟 인스턴스에 대한 발판을 마련하기 위해 합법적인 Atera 원격 모니터링 및 관리(RMM) 도구를 악용할 수 있습니다. 특히, 적대자들은 Atera의 엔드포인트 에이전트 설치 및 특정한 공격자 이메일 계정에 연결된 계정에 할당할 수 있는 능력을 활용합니다. 이는 공격자들이 관심 있는 시스템에 대한 완전한 액세스를 얻을 수 있게 하며, 악성 코드를 실행하거나 파일을 업로드 또는 다운로드할 수 있는 능력을 포함합니다.

공격의 다음 단계를 탐구하던 중 보안 전문가들은 캠페인 과정에서 Windows Defender 구성을 변경하고 악성 코드의 다른 부분을 업로드하기 위해 실행된 두 개의 .bat 파일을 발견했습니다. 이후에 appContast.dll은 “regsvr32.exe”로 실행되어 “msiexec.exe” 프로세스에 주입하여 공격자가 제어하는 C&C 서버에서 최종 Zloader 페이로드를 로드합니다.

캠페인 운영자들은 멀웨어가 타겟 시스템에 광범위하게 접근할 수 있도록 하면서 회피 능력을 강화하기 위해 많은 노력을 기울였습니다. 보안 전문가들은 감지 회피, 권한 상승, 보안 보호 비활성을 위해 공격 전반에 여러 스크립트가 사용되고 있으며, 이는 실행 중인 프로세스에 주요 페이로드를 주입하는 동안 수행된다고 주목합니다.

특히 appContast.dll은 Zloader를 설치하기 위해 첨부된 스크립트와 함께 제공되는 합법적인 Atera 라이브러리입니다. 이는 유효한 코드 서명을 얻으므로 Windows OS는 기본적으로 이를 신뢰합니다. Check Point 전문가들은 MalSmoke 해커들이 2012년에 발견된 Microsoft 서명 검증 프로세스의 오래된 문제(CVE-2020-1599, CVE-2013-3900, CVE-2012-0151)를 활용했다고 믿습니다. 벤더가 더 엄격한 파일 검증 정책으로 버그를 수정했음에도 불구하고, 업데이트는 기본 설정에서 비활성화된 상태로 남아 있습니다.

최신 Zloader 캠페인 탐지

Zloader에 대한 방어를 강화하고 인프라에 대한 공격 가능성을 탐지하기 위해 SOC Prime의 Detection as Code 플랫폼에서 사용 가능한 무료 Sigma 규칙을 다운로드할 수 있습니다.

Microsoft 서명 검증을 악용하는 새로운 Zloader 은행 악성코드 캠페인 (registry_event 통해)

이 탐지는 다음의 SIEM, EDR & XDR 플랫폼을 위한 번역을 제공합니다: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Sysmon, Qualys, Securonix, 그리고 Open Distro.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 방어 회피 전술을 다루고 주된 기법으로 레지스트리 수정(T1112)을 다루고 있습니다.

SOC Prime 플랫폼의 위협 탐지 마켓플레이스 저장소에서 사용 가능한 탐지의 전체 목록은 여기서. 

전 세계 최초의 협력적 사이버 방어, 위협 사냥 및 발견 플랫폼 SOC Prime에 합류하세요. 20개 이상의 SIEM 및 XDR 플랫폼과 통합되어 최신 위협을 즉시 사냥하고, 위협 조사를 자동화하며, 20,000명 이상의 보안 전문가 커뮤니티의 피드백과 검증을 받아 보안 운영을 강화할 수 있습니다. 콘텐츠 작성자인가요? 연구원들이 자신의 탐지 콘텐츠를 수익화할 수 있는 SOC Prime Threat Bounty 프로그램에 참여하여 세계 최대의 사이버 방어 커뮤니티의 힘을 활용하세요.

플랫폼으로 이동 Threat Bounty에 합류