PureCrypter 로더 탐지: 악성 활동 강화 위해 업그레이드; 원격 액세스 트로이 목마 및 인포스틸러 확산

사이버 보안 연구원들은 2021년 3월부터 원격 액세스 트로이 목마(RAT)와 정보 탈취 도구를 활발히 배포 중인 완전 기능의 멀웨어 로더인 PureCrypter의 보다 고급 버전의 활동을 관찰했습니다. PureCrypter를 사용하여 전달된 악명 높은 멀웨어 샘플은 다음과 같습니다 AsyncRAT, LokiBot, Remcos, Warzone RAT, NanoCore, Arkei Stealer, 및 RedLine Stealer. PureCrypter 멀웨어 로더의 업데이트된 기능에는 추가된 안티 분석 기술, 고급 암호화 및 난독화가 있어 멀웨어 운영자가 탐지를 피할 수 있게 하는 새로운 모듈이 포함됩니다.

PureCrypter 로더 탐지

PureCrypter 멀웨어 로더와 관련된 악의적인 활동을 탐지하고 귀하의 인프라에 대한 공격을 방지하려면 우리의 경험 많은 Threat Bounty 개발자 Osman Demir가 만든 전용 Sigma 규칙을 확인하십시오. 참여 Threat Bounty 프로그램 을 통해 자체 탐지 콘텐츠를 작성하고 전 세계 사이버 보안 커뮤니티로부터 기여에 대한 인정을 받아 귀하의 전문 기술 수준을 높일 수 있습니다.

전용 Sigma 규칙에 액세스하려면 SOC Prime 플랫폼에 가입하거나 로그인해야 합니다. 이 규칙은 레지스트리 실행 키에 항목을 추가하여 도달한 PureCrypter 로더 지속성을 탐지합니다:

레지스트리에 실행 키 추가로 인한 의심스러운 PureCrypter 로더 지속성 (registry_event 통해)

탐지는 19개의 SIEM, EDR 및 XDR 포맷으로 번역을 지원하며, 부팅 또는 로그인 자동 실행(T1547) 기술을 주요 기술로 하는 지속성 전술을 다루는 MITRE ATT&CK® 프레임워크에 매핑됩니다.

SOC Prime 등록 사용자는 그들의 인프라에서 멀웨어 변종을 적시에 식별하고, 멀티 폼의 탐지 규칙과 사냥 쿼리를 활용하여 대두되는 위협에 꾸준히 대비할 수 있습니다. 클릭하여 탐지 및 사냥 버튼을 클릭하여 여러 RAT 탐지를 위한 Sigma 규칙의 전체 컬렉션을 자세히 확인하고 관련 멀웨어를 적극적으로 방어하십시오. 현재 사이버 위협 환경을 형성하는 최신 트렌드를 따라가고 관련 위협 컨텍스트에 대해 심층적으로 파고들 준비가 되었습니까? SOC Prime을 살펴보아 주요 위협을 즉시 검색하거나 특정 APT 또는 익스플로잇을 찾아보고, 새로 발표된 Sigma 규칙이나 관련 컨텍스트 정보를 한 곳에서 탐색하십시오.

탐지 및 사냥 위협 컨텍스트 탐험

PureCrypter 설명: 고급 멀웨어 로더 버전에 대한 통찰력

최근 Zscaler 사이버 보안 연구 는 PureCrypter 로더의 진화에 대한 통찰력을 제공했습니다. 이 로더는 RAT와 정보탈취기를 포함하여 다수의 멀웨어 변종을 배포하면서 1년 이상 사이버 위협 무대에 있었습니다. 이 멀웨어 로더는 “PureCoder”라는 별명을 사용하는 개발자에 의해 활발히 판매 및 홍보되고 있습니다.

감염 체인은 두 단계로 구성됩니다. 첫 번째 단계에서는 단순한 .NET PureCrypter 다운로더가 보다 정교한 두 번째 단계 모듈을 실행하며, 이는 주요 페이로드로 작동하며, 다른 프로세스의 일부로서 RAT나 정보 탈취기와 같은 마지막 멀웨어를 주입합니다, 예를 들어, MSBuild.

PureCrypter 로더 작성자는 디스코드 및 텔레그램을 통해 감염 상태 메시지를 전송할 수 있는 기능을 포함하여 새로운 멀웨어 변종을 강화했습니다. 업그레이드된 멀웨어 버전 내의 다른 PureCrypter 기능은 지속성, 주입, 방어 메커니즘 및 탐지를 우회하기 위한 보다 정교한 암호화 및 난독화 기술을 포함합니다. 시작 시점에서 지속성을 확보하기 위한 PureCrypter 인젝터의 고급 기능과 Google의 프로토콜 포맷 사용으로 표준 안티 바이러스 소프트웨어로는 탐지가 더 어려워졌습니다.

진화하는 PureCrypter 멀웨어 로더의 기능과 그 영향의 증가하는 범주를 고려하여, 정보보안 전문가들은 그들의 사이버 방어 능력을 강화할 방법을 찾고 있습니다. SOC Prime의 Detection as Code 플랫폼 은 다양한 수준의 사이버 보안 성숙도를 가진 조직에 대해 미래 지향적인 위협 탐지 및 사냥 기능을 제공합니다. 이러한 기능은 고유한 비즈니스 요구와 다양한 SIEM, EDR 및 XDR 환경에 맞춰져 있습니다. 개인 사이버 보안 연구원과 위협 헌터는 Threat Bounty 프로그램에 참여하여 자신의 Sigma 및 YARA 규칙을 제출하고 위협 탐지 노력을 수익화하여 자기 발전을 위한 깊이 있는 기회를 열 수 있습니다.