Phemedrone Stealer Detection: Threat Actors Exploit CVE-2023-36025 Vulnerability in Windows SmartScreen to Deploy Malware

이번에 보안 연구원들은 Phemedrone 페이로드를 투하하기 위해 이제 패치된 Windows SmartScreen 결함(CVE-2023-36025)을 활용하는 악성 캠페인을 보고합니다. Phemedrone은 암호화 지갑, 채팅 앱, 인기 소프트웨어 등에서 데이터를 유출할 수 있는 오픈 소스 정보 절도 도구입니다.

Phemedrom Stealer 탐지

사이버 도메인에서는 10억 개 이상의 악성 소프트웨어 샘플이 유통되고 있어, 보안 전문가들은 사이버 공격을 사전에 예방하고 새로 나타나는 위협에 대해 적극적으로 방어할 수 있는 혁신적인 도구가 필요합니다. 최신 Phemedron 캠페인과 관련된 악성 활동을 식별하려면, 저희 날카로운 Threat Bounty 개발자가 만든 규칙을 확인하세요. Kagan Sukur.

Phemedrone Stealer 활동에서 사용되는 지속성 메커니즘의 결정 (process_creation을 통해)

위 규칙은 Phemedrone의 지속성 메커니즘이 시스템에서 배포되는 동안 생성된 것을 탐지하는 데 도움을 줍니다. 이 탐지는 27개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크 v14에 매핑되고, 광범위한 위협 인텔리전스, 공격 타임라인 및 추가 메타데이터로 보강됩니다.

해커들이 Widows SmartScreen의 보안 우회 결함을 무기화하여 감염을 진행함에 따라, 사이버 방어자는 CVE-2023-36025 익스플로잇 탐지를 목표로 한 큐레이션된 탐지 스택을 탐색할 수 있습니다. 탐지 탐색 아래 버튼을 클릭하고 규칙 세트를 자세히 살펴보세요.

탐지 탐색

공동 사이버 방어 커뮤니티에 가입하고 싶으신가요? 네트워킹을 통해 기술을 향상 시키고자 하는 보안 전문가는 SOC Prime의 Threat Bounty 프로그램. 

Phemedrone Stealer 캠페인 분석

Trend Micro의 최근 조사 결과 가 Phemedrone 스틸러 캠페인의 최신 세부 정보를 드러냅니다. CVE-2023-36025를 방어 회피 및 페이로드 배포에 사용하는 최신 Phemedrone 스틸러 캠페인의 세부 사항이 밝혀졌습니다.

Phemedrone 스틸러 는 GitHub 및 Telegram을 통해 개발자에 의해 활발히 유지되는 오픈 소스 악성 소프트웨어 샘플입니다. 이 악성 소프트웨어는 웹 브라우저, 암호화 계정, 인기 메신저 및 앱에서 데이터를 덤프할 수 있습니다. 또한, Phemedrone은 스크린샷을 찍고 시스템 정보를 수집하여 Telegram 또는 C&C 서버를 통해 적에게 전송할 수 있습니다.

진행 중인 캠페인에서는, 공격자들이 사용자를 속여 감염 체인을 유발하는 악성 인터넷 바로 가기 파일을 다운로드하도록 합니다. 일반적으로 공격자들은 Discord 또는 클라우드 서비스를 통해 URL 단축기를 이용하여 이러한 .URL 파일을 배포합니다. 일단 사용자가 함정이 있는 파일을 다운로드하면, CVE-2023-36025 보안 우회 버그를 이용하여 Windows Defender SmartScreen을 우회하는 제어판 파일을 실행합니다. 이후, .CPL 파일은 DLL 실행을 유발하여 Phemedrone을 위한 PowerShell 로더를 투하합니다.

특히, CVE-2023-36025 는 2023년 11월에 Microsoft에 의해 해결되었습니다. 그러나 적들은 여전히 이 결함을 무기화하여 진행 중인 악성 작업에 활용할 방법을 찾고 있습니다.

점점 더 증가하는 공격 수가 혁신적인 악성 방법을 활용하고 있어 보안 전문가들은 최신 위협을 파악하기 위해 고급 기술이 필요합니다. 보안 전문가들은 Uncoder AI를 활용하여 업계 최초의 탐지 엔지니어링을 위한 IDE를 사용하여 더 빠르고 스마트하게 코드를 작성하고 65개 기술 언어 형식으로 알고리즘을 즉시 번역할 수 있습니다.