새로운 자격 증명 탈취 은행 악성코드, 미국과 캐나다 공격
목차:
은행 부문은 항상 사이버 범죄자들에게 매력적인 표적이 되어왔습니다. 2007년 Zeus와 Gozi가 등장한 이후로, 유명한 뱅킹 트로이 목마는 고객 계좌를 비우면서 꾸준히 헤드라인을 장식했습니다. 최근 보안 연구원들이 또 다른 금융 악성 소프트웨어 가족의 일원을 발견했습니다. 이번 캠페인은 미국과 캐나다 은행 부문을 목표로 하고 있으며, 이는 2020년 초부터 새로운 자격 증명 탈취 프로그램에 의해 공격받고 있습니다.
캠페인 개요
악성 활동은 2020년 초에 시작되었지만, 보안 연구원들은 발견했습니다 새로운 자격 증명 탈취 프로그램을 2020년 3분기에서야. 분명히, 효과적인 회피 기술을 적용하고 있습니다. 먼저, 이 악성 소프트웨어는 AutoHotKey(AHK) 스크립팅 언어로 작성되었으며, 이는 빌트인 컴파일러 없이 감염된 PC에서 실행될 수 있음을 의미합니다. 두 번째로, 악성 요소를 각각 독립적으로 로드하며, 다양한 대상에 대해 개별 AutoHotKey 스크립트를 사용합니다. 이러한 기능들의 조합은 자격 증명 탈취 프로그램이 연구원들에게 노출되지 않고 샌드박스 탐지를 피할 수 있게 합니다.
이 악성 캠페인의 또 다른 주목할 만한 점은 ‘해킹 고용’ 모델로 시작될 수 있다는 점입니다. 악성 소프트웨어 구성 요소는 엄격하게 체계화되어 있습니다. 또한, 주요 기능과 변수에 대한 상세한 설명 주석이 제공됩니다. 이는 이 악성 소프트웨어가 서비스형으로 사용되도록 개발되었을 가능성을 나타내는 지표입니다. 특히, 지침은 러시아어로 작성되어 있어 개발자의 출신 국가를 나타낼 수 있습니다.
새로운 뱅킹 악성 소프트웨어 기능
다단계 감염 체인은 매크로가 포함된 Excel 문서로 시작하며, 이는 아마도 악성 스팸 및 스피어 피싱을 통해 배포됩니다. 피해자가 VBA AutoOpen 매크로를 활성화하도록 속았을 경우, 문서는 AutoHotKey(AHK) 다운로더 클라이언트 스크립트(adb.ahk)를 휴대용 AHK 스크립트 컴파일러(adb.exe)의 도움으로 드롭하고 실행합니다. 이 문맥에서, adb.ahk는 지속성을 위해 사용되며, 목표를 설정합니다. 특히, C 드라이브 볼륨 일련번호를 사용하여 각 피해자에 대한 맞춤식 ID를 생성합니다. 이 ID는 일정하게 유지되며 성공적인 감염을 추적하는 데 사용됩니다.
컴파일 및 지속성을 달성한 후, 자격 증명 탈취 프로그램은 영향을 받은 장치에 ‘sqlite3.dll’을 드롭합니다. 이 DLL은 Microsoft Edge, Google Chrome, Opera, Firefox 및 Internet Explorer(IE)를 포함한 여러 브라우저에서 로그인 데이터를 검색하기 위해 SQL 쿼리를 실행합니다. 그런 다음 도난당한 자격 증명은 HTTP POST 요청을 통해 C2 서버로 전송됩니다. 주목할 만한 점은, IE 비밀번호 탈취 구성 요소는 AutoHotKey 언어로 변환된 오픈 소스 악성 코드를 사용하고, 다른 구성 요소는 맞춤형 및 AHK 네이티브입니다.
자격 증명 탈취 공격 탐지
새로운 AutoHotKey 악성 소프트웨어의 회피 능력을 고려할 때, 사전 공격 탐지는 우선 과제입니다. 미국과 캐나다를 목표로 한 최근에 발견된 자격 증명 탈취 프로그램의 흔적을 탐지하십시오. Threat Detection Marketplace에서 제공한 무료 탐지 콘텐츠와 함께 Osman Demir Osman Demir:
https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/
규칙은 다음 플랫폼에 대한 번역을 포함합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
MITRE ATT&CK:
전술: 자격 증명 액세스, 지속성, 명령 및 제어
기법: 웹 브라우저에서 자격 증명 수집 (T1503), 바로가기 수정 (T1023), 표준 응용 계층 프로토콜 (T1437)
무료로 가입하십시오 Threat Detection Marketplace에서 보다 가치 있는 SOC 콘텐츠를 찾고 사전 공격 탐지를 위한 위협 탐지 프로그램에 참여하십시오. 우리의 Threat Bounty Program에 가입하십시오 자신만의 Sigma 규칙을 작성하여 SOC Prime 위협 사냥 커뮤니티의 일원이 되십시오.
