OriginLogger 멀웨어 탐지: 연구자들이 파헤친 AgentTesla의 후속작

OriginLogger라고 불리는 멀웨어는 사용자 친화적인 웹 패널, 스마트 로거, 강력한 키보드 후크를 갖춘 매력적인 RAT로 광고됩니다. OriginLogger 멀웨어 설명은 또한 여러 언어 지원 기능을 상세히 설명합니다. 이 멀웨어 스트레인은 Windows 기반 운영 체제에서 실행되도록 설계되었습니다.

OriginLogger RAT는 또 다른 악명 높은 키 입력 로거로 추천되었습니다. AgentTesla 명백한 법적 문제로 인해 합법적인 소프트웨어 시장에서 퇴출되었습니다.

OriginLogger 멀웨어 감지

OriginLogger 운영자에 의해 시스템에 심어진 악성 파일을 감지하기 위해 IOC 기반의 Sigma 규칙 Threat Bounty 개발자 Chayanin Khawsanit:

Agent Tesla 감염으로 이어진 드로퍼 활동 감지 (파일 이벤트 통해)

이 감지는 26개 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있으며 MITRE ATT&CK® 프레임워크 v.10에 맞춰, 리소스 개발 및 실행 전술을 다루며, 개발 역량 (T1587) 및 사용자 실행 (T1204) 기법을 다룹니다.

위협 헌터, SOC 및 CTI 분석가, 감지 엔지니어는 SOC 일과를 자동화하고, 위협 사냥 작업을 강화하여 상당한 시간과 위험을 줄일 수 있습니다. SOC Prime의 입증된 솔루션인 Uncoder CTI는 탐지 콘텐츠 연구 및 코딩에 시간이 많이 소요되는 대신, 사건 대응 및 다른 고우선 활동에 집중할 수 있게 합니다.

탐지 탐색  

OriginLogger 멀웨어 분석

OriginLogger는 AgentTesla로 불리는 스파이웨어에서 그 기원을 찾을 수 있습니다. 깊이 있는 연구에 따르면 Unit 42에 따르면 OriginLogger는 Agent Tesla의 변종으로, 보다 정확하게는 그 세 번째 릴리스 버전, 일명 “AgentTeslav3”입니다. .NET으로 구축된 상업적 키로거이자 원격 접근 트로이 목마인 Agent Tesla는 2014년부터 운영되어 범죄 해커들이 해킹된 네트워크에 원격 접근을 얻고 민감한 데이터를 훔치게 합니다.

두 키로거 모두 무작위 독일 시민의 여권 사본, 신용카드 사진, 다수의 Excel 워크시트가 포함된 가짜 Microsoft Word 문서를 통해 배포됩니다. 워크시트에는 MSHTA를 통해 원격 서버의 HTML 페이지 내용을 가져와 실행하는 VBA 매크로가 포함되어 있습니다. 감염 체인은 피해자의 장치를 난독화된 PowerShell 코드와 두 개의 인코딩된 바이너리로 감염시킬 것입니다. 멀웨어는 타겟의 상호작용을 수집하는 작업을 진행할 것입니다.

탐지 콘텐츠의 방대한 라이브러리 를 둘러보고 다른 관련 알고리즘을 찾아 시스템이 악성 파일에 감염되었는지를 탐지하세요. 세계 최대의 사이버 보안 커뮤니티와 전문 기술을 공유하는 것을 목표로 하는 위협 헌터이십니까? 지속적인 보상과 인정을 위한 크라우드소싱 이니셔티브인 Threat Bounty 프로그램.