PowerShell RAT 탐지: 전쟁 관련 정보 탐색을 위한 맞춤형 멀웨어

독일에 있는 사용자들이 새롭게 유포되는 악성코드 캠페인에 희생양이 되고 있습니다. 이 캠페인은 맞춤형 PowerShell 원격 액세스 트로이 목마(RAT)를 확산시키기 위해 설계되었습니다. 공격자들은 사람들이 우크라이나 상황에 관한 이전에 공개되지 않았던 정보를 제공한다고 주장하는 가짜 뉴스 속보로 미끼를 걸도록 속이기 위해 미끼 사이트를 설정했습니다. 피해자들은 이 문제에 대한 더 많은 정보를 제공할 문서를 다운로드하도록 권장됩니다. 이 무장된 파일은 공격자들이 손상된 기계에서 원격 명령 실행(RCE)을 수행할 수 있도록 맞춤형 RAT를 설치합니다.

연구 데이터를 보면, 현재 누구에게 정확히 공격의 책임이 있는지를 보여줄 충분한 증거가 없습니다.

PowerShell RAT 탐지

경험이 풍부한 위협 포상금 프로그램 탐지 엔지니어가 개발한 Sigma 기반 규칙을 통해 관련 악성 활동을 식별하여 PowerShell RAT에 의하여 시스템이 손상되었는지 여부를 감지하십시오. Furkan Celik:

맞춤형 PowerShell RAT 예약 작업 탐지(보안 경유)

이 탐지는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰진 16개의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있으며, 주요 기술로써 예약된 작업/잡(T1053)과 함께 실행 전술을 해결합니다.

위협 탐지 및 위협 사냥에 종사하는 전문가는 우리의 글로벌 크라우드 소싱 이니셔티브에 기여해주길 바랍니다. 새로운 위협에 맞서 방어 라인을 지키고 고급 사이버 기술로 수익을 창출하십시오. SOC Prime 위협 포상금 프로그램에 참여하여 SIGMA, Yara 및 Snort 규칙과 같은 탐지 콘텐츠로 안정적인 수입을 세우십시오.

탐지 보기 위협 포상금 참여

PowerShell RAT 악성코드 분석

Malwarebytes 연구원들은 러시아 후원 가능성이 있는 위협 행위자로부터의 악성코드인 PowerShell RAT를 노출시켰고, 이는 우크라이나 위기와 관련된 전쟁 정보를 얻기 위해 독일 사용자들을 대상으로 합니다. 최근 매우 체계적으로 계획된 공격 캠페인에서, 공격자들은 이전에 바덴뷔르템베르크 주의 행정 목적으로 사용되던 만료된 도메인을 활용해 가짜 웹사이트를 설정했습니다. 사이트 방문자들은 2022년 2분기 우크라이나 위협 상황에 대한 정보를 포함하고 있다고 주장하는 ZIP 보관 파일을 다운로드하도록 속임을 당했으며, 다운로드 시 정기적으로 업데이트를 받습니다. 제공된 파일은 맞춤형 PowerShell RAT를 포함하고 있었습니다.

ZIP 파일에는 여러 컴파일된 HTML 파일이 포함된 CHM 파일이 있습니다. 그것을 열면 피해자에게 가짜 오류 알림이 표시됩니다. 한편, 배경에서는 파일이 PowerShell을 시작하여 Base64 디오브스케이터를 실행한 후 바덴뷔르템베르크 가짜 사이트에서 악성 스크립트를 가져와 실행합니다. 마지막으로, 스크립트는 두 개의 파일을 손상된 기계에 떨어뜨리는데, 하나는 PowerShell로 작성된 RAT가 포함된 .txt 파일과 그것을 실행하도록 PowerShell에 명령하는 .cmd 파일이 있습니다. RAT는 C&C 서버에서 파일을 가져오고 업로드하며, PowerShell 스크립트를 로드하고 실행하며 특정 명령을 실행합니다.

이러한 공격을 러시아 후원 위협 행위자와 연관시키는 것은 현재 시점에서는 매우 추측적일 수 있지만, 공격자들의 동기가 그 패턴. 

적의보다 앞서 나가기 위해 방어를 계속 조정하는 것은 도전적일 수 있지만, 우리는 함께 현상 유지합니다! 보안 실무를 강화하기 위해 23,000명 이상의 SOC 전문가들로 구성된 세계 최대 사이버 방어 커뮤니티의 힘을 활용하십시오. SOC Prime.