Mispadu Stealer 탐지: 새로운 뱅킹 트로이 목마 변종이 CVE-2023-36025를 악용하여 멕시코를 표적으로 삼다

사이버 보안 연구원들은 최근 Mispadu Stealer라는 은밀한 정보 탈취 멀웨어의 새로운 변종을 공개했습니다. 멕시코 사용자를 대상으로 한 최신 공격에서 Mispadu 뱅킹 트로이 목마를 활용해 공격자들이 최근 수정된 Windows SmartScreen 취약점으로 추적된 CVE-2023-36025.

Mispadu 스틸러 탐지

사이버 영역에서 매일 수십 개의 새로운 멀웨어 샘플이 등장함에 따라 사이버 수비자들은 위협을 능동적으로 탐지하기 위한 최첨단 솔루션을 찾고 있습니다. SOC Prime 플랫폼은 300K+ 탐지 알고리즘을 집계하여 사이버 수비자들이 개발의 초기 단계에서 가능한 사이버 공격을 식별하고, 최신 Mispadu 정보 탈취 캠페인을 포함하여 탐지할 수 있도록 돕습니다.

WebDAV 유틸리티를 통해 DLL 페이로드를 호출하여 Mispadu 인포스틸러 실행 가능성 (process_creation을 통해)

우리의 숙련된 Threat Bounty 개발자 Nattatorn Chuensangarun 이 Rundll32 명령을 실행하여 WebDAV 클라이언트 유틸리티를 통해 DLL 페이로드를 로드함으로써 의심스러운 Mispadu 인포스틸러 활동을 탐지하는 데 도움을 줍니다. 탐지는 24개의 SIEM, EDR, XDR, 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK 프레임워크 v14 는 System Binary Proxy Execution (T1218)을 대응 기술로 하여 Defense Evasion 전술을 해결합니다.

또한 새로운 Mispadu 캠페인이 CVE-2023-36025를 의존하여 감염 과정을 진행함에 따라, SOC Prime 사용자는 탐지 스택 를 취약점 악용과 관련하여 탐색할 수 있습니다.

Mispady Stealer의 악성 활동과 관련된 규칙 모음을 탐색하려면 아래 탐지 탐색 버튼을 클릭하세요. 모든 규칙은 ATT&CK 참조, CTI 링크, 공격 시간표, 분류 추천 등을 포함한 광범위한 메타데이터를 포함하고 있습니다.

탐지 탐색

집단 사이버 방어에 기여하고 사이버 보안 기술을 발전시키고 싶으신가요? Threat Bounty 프로그램 에 참여하여 사이버 수비자를 위한 탐지 규칙을 제출하고, 33K+ 보안 전문가 앞에 게시되며 귀하의 기여에 대해 반복적인 보상을 받으세요.

Mispadu Stealer 분석

Unit 42 연구원들은 최근 Mispadu Stealer의 새로운 변종을 발견했습니다. 이 델파이 기반 멀웨어는 멕시코와 관련된 지역 및 URL에 초점을 맞추고 있으며, CVE-2023-36025로 알려진 Windows SmartScreen의 최근 패치된 보안 우회 취약점을 찾는 동안 발견되었습니다. have recently uncovered a new variant of Mispadu Stealer. This Delphi-based malware focuses on regions and URLs linked to Mexico and has been discovered while searching for a recently patched security bypass vulnerability in Windows SmartScreen known as CVE-2023-36025. 

Mispadu 스틸러는 또한 광역 뱅킹 멀웨어 군에 속하며, 라틴 아메리카 지역을 주요 타겟으로 하고 있습니다. 후자는 Grandoreiro라는 또 다른 악명 높은 뱅킹 트로이 목마를 포함하며, 브라질, 스페인 및 멕시코에 대한 공격에 오랫동안 사용되다 브라질의 법 집행에 의해 최근 중단 조치를 당했습니다.

Mispadu는 일반적으로 수신자에게 ZIP 파일과 가짜 URL이 포함된 유해한 이메일을 받게 하는 스팸 캠페인을 통해 확산됩니다. 다단계 멀웨어 변종인 Mispadu 스틸러는 지속적으로 진화하고 정교해지는 여러 적대자 기술을 적용합니다.

SmartScreen은 신뢰할 수 없는 소스로부터 사용자를 보호하여 잠재적으로 위험한 웹사이트와 파일에 대해 사용자에게 알리는 것을 목적으로 합니다. 그러나 공격자들은 CVE-2023-36025를 무기화하여 이러한 경고를 우회할 수 있습니다. 이 취약점은 유해 파일로 연결되는 URL 파일이나 하이퍼링크를 생성하여 SmartScreen의 경고를 피할 수 있습니다. 클릭하면, URL 파일이 손상된 사용자를 적대자 네트워크 공유로 리디렉션하여 페이로드를 실행합니다.

2023년 가을 말, Unit 42 팀은 SmartScreen을 우회하려는 시도를 검색하는 동안 유사한 URL 파일을 발견했습니다. 감지된 URL 파일은 Microsoft Edge 브라우저에 의해 다운로드된 ZIP 아카이브에서 유래되었으며, 악성 실행 바이너리를 실행하고자 했습니다. 추가 연구에서 같은 C2 서버에서 다운로드된 유사한 페이로드가 드러났습니다. C2 인프라와 드러난 멀웨어 기능은 2023년 봄 말에 감지된 Mispadu 샘플에서 활용된 것과 현저히 유사한 것으로 판명되었습니다.

여러 지역과 산업을 타겟으로 하는 뱅킹 멀웨어 변종의 기하급수적인 증가와 그들의 공격 능력의 지속적인 발전은 능동적 방어의 필요성을 증가시키고 있습니다. SOC Prime의 Uncoder AI 는 보안 엔지니어들이 증강 지능의 힘을 뒷받침으로 탐지 엔지니어링 능력을 향상시킬 수 있도록 합니다. 새롭게 나타나는 멀웨어에 대한 탐지를 더 빠르고 간단하게 작성하고, 자동화된 방식으로 여러 사이버 보안 언어로 코드 번역하며, 회고적 사냥을 차세대 수준으로 끌어올릴 수 있도록 IOC 매칭을 단순화합니다.