NetDooka 멀웨어 탐지: NetDooka가 데이터 절도와 하이재킹을 가능하게 하다

공격자들은 PrivateLoader 유료 설치(PPI) 악성코드 배포 플랫폼을 사용하여 NetDooka라고 명명된 새로운 악성코드 프레임워크를 확산시킵니다. 이 포괄적인 악성코드 프레임워크는 로더, 드로퍼, 커널 모드 프로세스, 파일 보호 드라이버 및 원격 액세스 트로이 목마(RAT)와 같은 여러 구성 요소를 포함합니다.

NetDooka 프레임워크의 감염 체인 시작 요소는 PrivateLoader 악성코드의 설치입니다. PPI 서비스는 다음과 같은 악성코드 계열의 배포와 관련이 있습니다 Remcos, Mars Stealer, RedLine Stealer, 그리고 Vidar, 이 캠페인에서도 감염된 시스템에 드롭될 수 있습니다.

NetDooka 악성코드 탐지

다음 규칙을 활용하여 숙련된 Threat Bounty 개발자 Sittikorn Sangrattanapitak 이 NetDooka 프레임워크와 관련된 의심스러운 파일을 탐지합니다:

유료 설치(PPI) 서비스 (파일 이벤트를 통한)에서 배포된 의심스러운 NetDooka 프레임워크 악성코드

탐지는 21개의 SIEM, EDR 및 XDR 플랫폼에 사용할 수 있으며, 최신 MITRE ATT&CK® 프레임워크 v.10과 정렬되고 사용자 실행을 주요 기술(T1204)로 하는 실행 전술에 대응합니다.

SOC Prime의 탐지 콘텐츠 라이브러리는 25개 이상의 SIEM, EDR 및 XDR 솔루션과 통합할 수 있는 탐지 항목을 호스팅합니다. 185,000개 이상의 미래 지향적 탐지를 플랫폼 회원이 사용할 수 있는 점점 더 늘어나는 컬렉션을 탐색하려면 탐지 보기 버튼을 누르세요.

처리된 위협 방지를 위한 SOC Prime의 크라우드소싱 이니셔티브에 가입하여 보안 프로세스에서 높은 기준을 달성하는 데 협력하는 열정에 동참하세요. 사이버 보안 전문가들은 Threat Bounty 프로그램을 활용하여 분야에서 새로운 경력 가능성을 열어갑니다.

탐지 보기 Threat Bounty 가입

NetDooka 프레임워크 분석

NetDooka 프레임워크와 관련된 첫 번째 아티팩트는 TrendMicro의 연구팀 이 2022년 5월 5일에 발표한 보안 보고서에서 설명되었습니다. 사용 가능한 데이터는 NetDooka 악성코드 프레임워크의 알람적인 악성 가능성을 경고하는 보안 분석가의 경고로 인해 좋지 않은 뉴스입니다.

PrivateLoader PPI 악성코드 배포 플랫폼을 통해 배포된 NetDooka 악성코드는 운영자들이 피해자의 시스템을 장악할 수 있도록 하여, 즉 원격 데스크톱 작업, 키 입력 로깅, 셸 명령 실행, DDoS 공격 실행 및 기기의 데이터를 관리할 수 있게 합니다. PrivateLoader로 인한 감염은 주로 불법 웹사이트에서 얻은 라이선스 없는 소프트웨어를 통해 퍼지며, 이는 SEO 중독 전술을 통해 검색 결과에서 높은 순위에 오르게 합니다. 이전에 이 PPI 플랫폼은 주로 스틸러 및 뱅킹 악성코드와 랜섬웨어를 전달하는 데 사용되었습니다.

NetDooka 공격 체인은 이미 기사에서 언급된 여러 구성 요소에 의존합니다. 첫 번째 페이로드는 감염된 시스템의 안티바이러스 도구를 제거하는 로더를 가져옵니다. 이 시점에서 로더는 RAT의 작동을 보호하기 위해 커널 드라이버를 설치할 수도 있습니다. 성공적인 작업은 목표를 완전 또는 부분적으로 제어할 수 있는 위협 행위자가 얻는 최종 페이로드, NetDookaRAT의 드롭으로 이루어집니다.

해킹이 진화함에 따라 우리는 적응해야 합니다. 공격자에게 대비하기 위해서는 선제적인 위협 탐지가 필수적입니다. 악성코드 배포 사례 수의 급증에 직면하여, SOC Prime은 23,000명 이상의 사이버 보안 전문가의 협업적 전문 지식을 활용하여 보안 팀이 더 쉽고 빠르게 위협을 탐지할 수 있도록 적시 적절한 솔루션을 제공합니다.