새로운 FormBook 변종, 자연 상태의 사용자들 표적
목차:
보안 연구원들 포티가드 연구소 이 밝혀내었다 새로운 FormBook 변형이 대규모 피싱 캠페인에서 전달되고 있습니다. 특히, 적들은 최근 구매 주문의 후속 조치로 가장된 맬웨어가 포함된 Microsoft PowerPoint 문서로 사용자들을 타겟으로 삼고 있습니다. 사기꾼의 미끼를 물은 사람들은 악명 높은 데이터 탈취 맬웨어에 감염되었습니다.
새로운 FormBook 피싱
감염은 구매 주문에 대한 최근 요청에 대한 응답으로 가장된 피싱 이메일에서 시작됩니다. 가짜 메시지는 피해자에게 추가 브로셔와 가격 세부 정보를 포함한다고 주장하는 첨부된 PowerPoint 문서를 열도록 유도합니다. 특히, 파일은 .pps 확장자로 전달되며, 이는 전통적인 .ppt 파일 확장자에 의해 미리 정의된 편집 모드 대신 슬라이드 보기로 PowerPoint 소프트웨어를 열도록 만듭니다.
사용자가 악성 파일을 열고 슬라이드 배치를 검색하도록 속이는 경우, VBA 스크립트가 백그라운드에서 매크로 함수를 실행하도록 합니다. 이는 전용 .Net 파일을 로딩하기 위한 PowerShell 코드를 트리거합니다. 이 파일은 세 개의 강하게 난독화되고 암호화된 .Net 모듈을 통해 추가로 전송되며, 마지막 모듈은 최종 FormBook 페이로드를 다운로드합니다.
맬웨어 개요
FormBook 은 적어도 2016년부터 활동해온 악명 높은 데이터 탈취 및 폼-그래브 맬웨어입니다. 이는 지하 포럼에서 ‘서비스로서의 맬웨어’로 적극적으로 판매되고 있어 누구나 구독을 구매하여 악의적인 캠페인을 시작할 수 있습니다. 특히, 이 맬웨어는 설정 및 기능에 대한 폭넓은 사용자 정의 옵션이 있는 PHP 제어판으로 제공됩니다.
FormBook은 일반적으로 맬스팸에 의존하여 배포되고 악성 첨부 파일을 이용하여 페이로드를 드롭합니다. 감염되면, 이 맬웨어는 자격 증명 덤핑, 스크린샷 캡처, 클립보드 모니터링, 키스트로크 로깅, 브라우저 쿠키 삭제, 파일 다운로드 및 실행, 시스템 재부팅 및 종료 등 광범위한 기능을 수행할 수 있습니다.
출현 이후로 FormBook은 여러 번의 주요 악성 캠페인에 관련되었습니다. 여기에는 2017년 미국 및 대한민국 우주항공, 방위 및 제조업계를 겨냥한 공격, 2018년 미국 및 중동 정보 서비스 및 금융 분야에 대한 캠페인, 그리고 2020년 COVID-19 피싱 캠페인 이 포함됩니다.
새로운 FormBook 변형 검출
우리의 예리한 Threat Bounty 개발자 Osman Demir의 커뮤니티 Sigma 규칙을 통해 새 FormBook 변형 피싱에 사전 방어하십시오:
https://tdm.socprime.com/tdm/info/lfTlbTYlVIcy/#sigma
규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, FireEye Helix
EDR: Carbon Black, Sentinel One, Microsoft Defender ATP
MITRE ATT&CK:
전술: 실행, 초기 접근
기술: 명령줄 인터페이스 (T1059), 스피어피싱 첨부파일 (T1566)
또한 확인할 수 있습니다 Threat Detection Marketplace에서 이미 제공되는 FormBook 탐지의 전체 목록 . 블로그의 추가 업데이트를 위해 주시하세요!
Threat Detection Marketplace에 무료로 가입하여 100K+의 탐지 및 대응 규칙, 파서, 검색 쿼리, 그리고 CVE와 MITRE ATT&CK® 프레임워크에 매핑된 기타 SOC 콘텐츠로 사이버 방어 능력을 향상시키세요. 최신 사이버 보안 트렌드를 주시하고 위협 사냥 활동에 참여하고 싶으신가요? Threat Bounty 프로그램에 참여하세요!
