마탄부커스 악성코드 탐지: 새로운 멀스팸 캠페인에서 악성코드 로더와 코발트 스트라이크 배포

마탄부쿠스는 처음으로 2021년 초에 $2,500의 임대 가격으로 서비스형 악성코드(MaaS) 프로젝트로 등장했습니다. 마탄부쿠스는 악성코드 실행 주기 중에 두 개의 DLL을 사용하는 로더입니다. 올해 이 악성코드는 코발트 스트라이크 비콘 배포를 목표로 한 피싱 공격에서 전달되고 있습니다.

마탄부쿠스 악성코드 탐지

효율적인 마탄부쿠스 악성코드 탐지를 위해, SOC Prime Threat Bounty Program의 재능 있는 멤버가 개발한 다음의 Sigma 규칙을 사용하세요. 싯티콘 상라타나피탁 and 에미르 에르도안과 같은 관련 의심 활동을 신속하게 추적하세요:

프로세스 생성 통해 마탄부쿠스 악성코드 탐지

프로세스 생성 통해 테스크 생성 시의 마탄부쿠스 서비스형 악성코드 탐지 가능성

이 탐지는 23개 이상의 SIEM, EDR 및 XDR 플랫폼에서 사용될 수 있으며, MITRE ATT&CK® 프레임워크 v.10과 일치하며, 서명된 이진 프록시 실행(T1218) 및 예약된 작업/작업(T1053)을 주요 기술로 사용하여 방어 회피 및 실행 전술을 다룹니다.

사이버 보안 전문가들은 Threat Bounty Program 에 가입하여 Sigma 규칙 을 커뮤니티와 공유하고 반복적인 보상을 얻는 것이 가능합니다.

SOC Prime Platform의 Threat Detection Marketplace 저장소에서 마탄부쿠스 악성코드와 관련된 탐지 콘텐츠의 업데이트를 따라가려면 Detect & Hunt 버튼을 누르세요. SOC Prime의 탐지 콘텐츠 라이브러리는 협력적인 사이버 방어 접근법에 의해 강화되고 Follow the Sun (FTS) 모델에 의해 활성화되어 주요 위협에 대한 탐지를 적시에 제공하기 위해 지속적으로 새로운 콘텐츠로 업데이트됩니다. 현재의 사이버 위협 환경을 형성하는 최신 트렌드에 맞춰가고 관련 위협 컨텍스트에 대해 깊이 알기를 원하십니까? SOC Prime의 검색 엔진을 시도해 보세요! 위협의 전맥과 새로 출시된 Sigma 규칙의 풀을 즉시 탐색하고 관련 컨텍스트 정보를 한 곳에서 탐색하려면 Explore Threat Context 버튼을 누르세요.

Detect & Hunt Explore Threat Context

마탄부쿠스 악성 스팸 캠페인

팔로 알토 네트웍스의 연구원들은 2021년 여름 마탄부쿠스 로더를 설명하는 조사를 발표하며, .dll 및 .exe 파일과 사용자 지정 PowerShell 명령어의 실행 기능과 schtasks.exe의 악용, 독립 실행형 실행 파일 등 그 기능을 확인했습니다.

이 정교한 MaaS 프로젝트는 올해 다시 나타나며, 피해자들이 주제 줄에 ‘Re:’를 포함한 가짜 시작된 이메일 대화에 반응하도록 유인하는 악성 스팸 캠페인을 통해 악성코드를 배포하고 있습니다. 이 이메일에는 HTML 파일을 포함한 ZIP 파일이 들어 있어 추가 ZIP 아카이브를 생성합니다. MSI 패키지를 추출하며, “Westeast Tech Consulting, Corp.”에 대한 합법적인 DigiCert 인증서로 디지털 서명이 되어 있습니다. 이 악성 스팸 공격은 마탄부쿠스 악성코드를 전달합니다.

시스템에 들어오게 되면, 마탄부쿠스 로더는 손상된 시스템에 코발트 스트라이크 비콘을 감염시킵니다. 또한 Qakbot 배포의 사례도 있습니다.

사이버 보안 위험의 빠르게 진행되는 환경에서 중단 없이 운영하며 가장 좋은 완화 솔루션을 얻으려면 SOC Prime – 에 가입하세요. Detection as Code 플랫폼을 통해 평판 높은 현장 전문가들이 작성한 세계 최대의 탐지 콘텐츠 풀이 있는 곳에 접근하세요.