MULTI#STORM 공격 탐지: 미국과 인도를 대상으로 여러 원격 액세스 트로이 목마를 확산시키는 새로운 피싱 캠페인

[post-views]
6월 26, 2023 · 3 분 읽기
MULTI#STORM 공격 탐지: 미국과 인도를 대상으로 여러 원격 액세스 트로이 목마를 확산시키는 새로운 피싱 캠페인

사이버 보안 연구원들은 해커가 JavaScript 파일을 악용하여 목표 시스템에 RAT 멀웨어를 떨어뜨리는 MULTI#STORM이라는 또 다른 피싱 캠페인에 대해 방어자들에게 경고하고 있습니다. MULTI#STORM 공격 체인은 여러 단계를 포함하며 최종 단계에서는 확산됩니다. Quasar RAT and Warzone RAT 샘플입니다. 조사에 따르면, 이 캠페인에서 위협 행위자들은 미국과 인도를 주시하고 있습니다. 

MULTI#STORM 공격 탐지

집단 사이버 방어를 위한 SOC Prime 플랫폼은 Sigma와 MITRE ATT&CK 기술로 뒷받침된 비용 효율적이고 최첨단 솔루션을 제공하여 조직의 사이버 회복력을 높일 수 있도록 합니다. MULTI#STORM 공격 탐지를 위한 행동 기반 SOC 콘텐츠로 사이버 방어자를 무장시키기 위해 SOC Prime 플랫폼은 ATT&CK에 매핑되고 주요 SIEM EDR, XDR 및 데이터 레이크 기술과 호환되는 관련 Sigma 규칙 세트를 큐레이팅합니다. 

클릭하세요 탐지 탐색 아래 버튼을 클릭하여 새로운 MULTI#STORM 캠페인을 탐지하기 위한 Sigma 규칙의 포괄적인 목록으로 들어가서 조직의 인프라에서 RAT 멀웨어의 잠재적인 흔적을 신속하게 식별하세요. 모든 탐지 알고리즘은 ATT&CK와 CTI 링크, 완화책 및 해당 이진 파일과 같은 관련 메타데이터로 강화되어 있습니다. 

탐지 탐색

MULTI#STORM 피싱 공격 분석

Securonix 위협 연구소의 사이버보안 연구원들이 미국과 인도의 개별 사용자를 주로 타겟으로 하는 MULTI#STORM이라는 새로운 피싱 캠페인을 발견했습니다. 감염 체인은 Microsoft OneDrive에 위치한 비밀번호 보호 ZIP 파일로 연결되는 임베디드 링크를 클릭하여 시작됩니다. 이 후자는 자바스크립트 파일을 난독화하여, 두 번 클릭 시 감염을 더욱 확산시키며, DBatLoader 멀웨어와 유사한 기능 및 공격자 TTP를 적용하는 Python 기반 로더를 활용합니다. MULTI#STORM 캠페인의 초기 공격 단계에서 사용된 로더는 영향을 받은 시스템에서 일련의 RAT 멀웨어 샘플을 확산시키고 영구성을 유지하고 탐지를 회피하기 위한 고급 기법 세트를 활용합니다. 

위협 행위자는 처음으로 악명 있는 트로이 목마를 떨어뜨립니다 Warzone RAT, 이는 암호화된 C2 통신을 수행하고 영구성을 유지하며 비밀번호 복구도 가능합니다. 탐지 회피를 위한 적대적 기술, 예를 들어 Windows Defender 우회 기능도 적용됩니다. Warzone RAT는 해커가 쿠키 및 인기 있는 웹 브라우저의 자격 증명과 같은 민감한 데이터를 훔치는 데 사용됩니다. 

연구자들은 또한 MULTI#STORM 작전에서 Warzone RAT 실행 뒤에 Quasar RAT라는 또 다른 페이로드의 악의적인 흔적을 관찰했습니다. 위협 행위자는 Quasar RAT의 성공적인 실행 후 다른 통신 포트를 적용했습니다. 

잠재적인 완화 조치로서, 사이버 수비자들은 OneDrive 링크 사용을 지속적으로 모니터링하고, 특히 ZIP 파일과 같은 의심스러운 이메일 첨부 파일을 열지 않으며, 무명 이진 파일의 실행을 정책 업데이트를 통해 제한하고 이메일 보안 보호를 위한 최상의 보안 관행을 따를 것을 권장합니다. 

MITRE ATT&CK 컨텍스트

위에 참조된 모든 Sigma 규칙은 MULTI#STORM 캠페인과 관련된 전술 및 기술을 다루고 ATT&CK로 태그가 지정된 심층적 컨텍스트 정보를 제공합니다.

SOC Prime 플랫폼에 가입하여 귀하의 현재 보안 요구에 맞춘 최첨단 사이버 방어 도구를 준비하세요. 10K Sigma 규칙 이상의 세계 최대 리포지토리를 탐색하여 새로운 위협을 선제적으로 탐지하세요; Sigma 및 ATT&CK 자동 완성과 즉시 양방향 쿼리 번역을 28개 이상의 언어 포맷으로 제공하는 Uncoder AI를 활용하여 탐지 엔지니어링을 발전시키고 ChatGPT와 집단 지성의 힘으로 뒷받침되는 심도 있는 사이버 위협 컨텍스트를 활용하거나, 300초 이내에 전체 탐지 스택을 검증하여 사이버 방어 격차를 발견하고 효과적으로 해결하여 귀하의 사이버 보안 태세를 탄탄하게 만드세요. 최신 뉴스를 계속 따라가시겠습니까? 우리의 오픈 소스 사이버 디펜더 커뮤니티에 참여하세요 discord.gg/socprime.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물