모던로더 봇 탐지: 가짜 아마존 기프트 카드로 확산되어 동유럽 사용자를 위협하다

ModernLoader 봇, 또는 Avatar 봇으로 알려진 이 프로그램은 .NET 원격 액세스 트로이 목마로, C&C 서버에서 파일을 다운로드하고 실행하며, 시스템 정보를 수집하고, 임의의 명령을 실행할 수 있는 기능을 가지고 있습니다. 이 악성 소프트웨어가 제공하는 원격 제어를 통해 위협 행위자는 침입된 네트워크를 봇넷 확산에 사용합니다.

증거 체인은 이러한 공격이 폴란드, 헝가리, 불가리아 및 러시아의 사용자를 대상으로 하는 러시아어를 사용하는 새로운 사이버 범죄 그룹에 의한 것일 가능성을 시사합니다. 적들은 WordPress와 CPanel의 취약성을 침해하여 사용자가 Amazon 기프트 증서로 위장한 악성 소프트웨어를 다운로드하도록 유도합니다.

ModernLoader 봇 탐지

ModernLoader RAT에 대비하기 위해, SOC Prime은 독창적이고 컨텍스트가 풍부한 Sigma 규칙 을(를) 발행했습니다. 위협 보상 프로그램 기여자 Aykut Gürses:

ModernLoader 암호화 채굴기 및 RAT의 예약 작업 탐지(명령줄을 통해)

이 탐지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, Devo, LimaCharlie, Snowflake, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, AWS OpenSearch, Carbon Black, Securonix 및 Open Distro와 같은 SIEM, EDR 및 XDR 플랫폼에 대한 번역을 포함합니다.

이 규칙은 실행 전술을 주된 기법으로 하는 예약 작업/직무(T1053)를 다루며, MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있습니다.

현재의 사이버 위협 환경을 형성하는 최신 트렌드를 따라잡으려는 보안 전문가 및 보안 산업 초보자에게 있어 처음으로 등장한 사이버 위협 검색 엔진이 도움이 될 것입니다. 버튼을 눌러 위협 컨텍스트 탐색 즉시 최고 RTA 관련 위협과 새로 발행된 탐지 알고리즘의 풀로 탐색하며, 관련 컨텍스추얼 정보를 한 곳에서 탐험할 수 있습니다. 분석 사전을 통해 200,000개 이상의 분석된 탐지를 포함하는 방대한 콘텐츠 라이브러리를 볼 수 있으며, 매일 검토된 콘텐츠들로 지속적으로 업데이트됩니다. 버튼을 눌러 플랜 선택 무엇보다도 사이버 적대자 앞서 나가는 것에 방해받지 마십시오!

탐지 탐색 플랜 선택

ModernLoader 배포 캠페인

Cisco Talos 연구팀은 2022년 3월부터 6월까지의 기간 동안 대규모 맬웨어 배포 물결을 감지했습니다. 관측된 공격과 뉴스 보도에 기반하여, ModernLoader RAT, RedLine 정보 수집 맬웨어, 그리고 암호화폐 채굴기을(를) 퍼뜨리는 세 가지 맬웨어 배포 캠페인을 단독으로 꼽을 수 있습니다. 공격자들은 PowerShell, .NET 어셈블리, HTA 및 VBS 파일을 활용하여 타락된 네트워크를 가로질러 움직이며 추가 악성 페이로드를 남깁니다. 이러한 공격은 다양한 산업 부문의 글로벌 조직에 심각한 위험을 노출시킵니다.

감지된 캠페인들의 중심에 있는 위협 행위자는 구매하여 사용할 수 있는 도구들을 사용하고 있으며, 연구자들은 이를 범죄 행위자가 자체 도구를 설계할 기술적 능력이 부족하다는 신호로 평가합니다.

2022년, 전 세계적으로 사이버 공격의 수가 이전 기록을 초과할 것으로 예상됩니다. 다른 시간대에 위치한 업계 리더들이 제공하는 즉각적인 위협 대응을 통해 Follow the Sun (FTS) 모델을 연습하고, 고객들이 혁신적인 Detection as Code 접근 방식으로 최고의 결과를 얻을 수 있도록 합니다. 이크 언론 주도 글로벌 솔루션을 제공하는 업계 리더들과 같이 하여위협 행위자들보다 우위를 점하십시오. SOC Prime.