Manjusaka 공격 프레임워크 탐지: 새로운 멀웨어 패밀리 빠르게 작동 시작

최근 “Manjusaka”라는 새로운 공격 프레임워크가 출현하고 있습니다. “Manjusaka”라는 이름은 “소 꽃”을 의미하지만, 이 공격 프레임워크가 지닌 높은 수준의 공격 잠재력을 나타내는 것과는 거리가 멉니다. 충분한 증거에 따르면, 이 악성코드 계열의 캠페인 운영자는 중국 기반으로 추정됩니다.

Manjusaka 개발자는 Windows 및 Linux OS를 목표로 설계했으며, 그 공격 능력은 Cobalt Strike 와 Sliver와 유사합니다.

Manjusaka 해킹 프레임워크 탐지

Manjusaka 공격 프레임워크를 사용하는 가능한 공격을 식별하기 위해, 일괄적으로 다운로드할 Sigma 규칙을 선택하십시오. 이 콘텐츠는 우리의 주의 깊은 Threat Bounty Program의 탐지 엔지니어들 Nattatorn Chuensangarun and Emir Erdogan:

Manjusaka 프레임워크 탐지

이 규칙은 악성 사용자 에이전트와 Manjusaka C2 프레임워크와 피해자 간의 통신을 탐지할 수 있게 합니다. 탐지는 26개의 SIEM, EDR 및 XDR 플랫폼에 제공되며, MITRE ATT&CK 프레임워크 v.10에 맞춰 조정되어 있습니다.

SOC Prime의 탐지 콘텐츠 라이브러리는 26+ SIEM, EDR, XDR 솔루션과 통합할 수 있는 탐지 항목을 호스팅합니다. 플랫폼 회원을 위한 200,000개 이상의 발전 가능성을 지닌 탐지를 탐색하려면 탐지 및 헌팅 버튼을 눌러 보십시오. 활성 SOC Prime Platform 계정이 없는 위협 헌터는 위협 컨텍스트 탐색 버튼을 눌러 등록된 사용자 접근 권한을 해제할 수 있습니다.

탐지 및 헌팅 위협 컨텍스트 탐색

Manjusaka 프레임워크 설명

Manjusaka 악성코드 계열의 개발자는 이제 사용자가 새로운 맞춤형 악성 임플란트를 쉽게 생성할 수 있게 하는 UI가 간체 중국어로 작성된 GoLang 버전의 C2를 GitHub를 통해 무료로 배포합니다. Rust로 작성된 임플란트는 다수의 RAT 기능을 포함하며, Cisco Talos에 의해 발표된 분석에 따르면 입니다. 보안 연구원들은 악성코드가 EXE와 ELF 버전의 임플란트를 제공한다고 보고합니다. 이 악성코드는 운영자가 피해자의 자격 증명, Wi-Fi SSID 정보 및 기타 시스템 정보를 탈취할 수 있게 합니다. Manjusaka는 스크린샷 캡처, 파일 및 디렉토리 관리, 임의 명령 실행 기능을 갖추고 있습니다.. The security researchers report  EXE and ELF versions of the implant. The malware enables its operators to steal sensitive data such as the victim’s credentials, Wi-Fi SSID information, and other system information. Manjusaka comes with the capabilities to capture screenshots, manage files and directories, and execute arbitrary commands.

연구된 악성코드 사례는 Manjusaka가 여전히 개발 단계에 있으며, 이는 가까운 미래에 새로운 변종이 macOS와 같은 다른 인기 있는 플랫폼도 목표로 할 수 있음을 암시하는 나쁜 소식입니다.

사이버 보안에 정통한 분들은 무료로 SOC Prime의 Detect as Code 플랫폼에 가입하여 최신 위협을 탐지하고, 로그 소스 및 MITRE ATT&CK 커버리지를 개선하며, 조직의 사이버 방어 능력을 강화하는 데 적극 기여할 수 있습니다. 유망한 탐지 엔지니어들은 Threat Bounty Program – SOC Prime의 크라우드소싱 이니셔티브에 참여하여, 높은 기준의 사이버 보안 프로세스를 달성하고 지속적으로 발생하는 위협에 대처하기 위한 회복력을 높이는 데 협력하는 우리의 헌신을 공유할 수 있습니다.