퍼플 폭스 루트킷이 이제 웜 전파 능력을 획득했습니다

Guardicore Labs의 보안 분석가들은 최근 악명 높은 Purple Fox 루트킷의 새로운 변종을 탐지했으며, 이제 Windows 기기에서 웜으로 전파되고 있습니다. 이 최신 악성코드 업그레이드는 2020년 봄 이후 600% 증가하여 Purple Fox 감염의 급증을 초래하고 있습니다. 이 지속적인 캠페인은 포트 스캐닝과 보안이 취약한 SMB 서비스에 크게 의존하고 있으며, 악성코드 운영자가 익스플로잇 키트 기능에서 전환한 것을 강조합니다.

Purple Fox 루트킷 개요

Purple Fox는 루트킷 및 백도어 기능으로 강화된 파일리스 악성코드 다운로드 도구입니다. 2018년 처음 등장한 이후 이 위협은 다양한 트로이목마, 암호화폐 채굴기, 정보 탈취 변종 및 랜섬웨어 샘플을 전달하는 데 적극적으로 사용되고 있습니다.

초기에 이 악성코드는 주로 잘 알려진 Microsoft 익스플로잇(CVE-2020-0674, CVE-2019-1458, CVE-2018-8120, CVE-2015-1701)과 피싱 이메일에 의존하여 악성코드를 전달하였습니다. 그러나 2020년 5월, Purple Fox는 사용자 상호작용이나 추가 도구 없이도 감염을 퍼뜨릴 수 있는 웜과 같은 능력을 획득했습니다. 이제 SMB 브루트포스를 통해 Windows 시스템에 전파하고 수천 대의 장치를 빠르게 감염시킬 수 있습니다.

감염 시, 악성코드는 자신의 루트킷 모듈을 활용하여 악성 활동을 숨기고 호스트에 추가 악성코드를 드롭한 후 브루트포스 시도들을 계속 진행합니다. Guardicore Labs 보고서 는 Purple Fox 운영자들이 2021년 3월까지 90,000건 이상의 성공적인 공격을 수행했다고 추정합니다.

새로운 공격 킬 체인

감염 체인은 전통적으로 피싱 이메일로 시작되어 새 웜과 같은 Purple Fox 변종이 Windows 업데이트 패키지로 위장됩니다. 사용자가 첨부된 실행 파일을 실행하도록 속일 경우, 전용 MSI 설치 관리자는 손상된 Windows 서버에서 회피, 포트 스캐닝 및 지속 가능성 기능을 수행하기 위해 세 가지 페이로드를 다운로드합니다. 감염된 호스트에서 코드 실행이 이루어진 후, 악성코드는 재감염을 방지하기 위해 포트 445, 139, 135를 차단하고 IP 범위를 생성하여 인터넷에 노출된 SMB 서비스가 있는 취약한 장치를 식별하기 위해 포트 445 스캔을 시작합니다. 만약 감지되면, Purple Fox는 SMB 브루트포스 공격을 수행하여 새로운 장치를 감염시키고 추가 전파합니다.

특히, 보안 연구원들은 약 3,000대의 Microsoft 서버가 Purple Fox에 의해 드롭퍼와 악성 실행 파일을 호스팅하기 위해 손상되었음을 확인했습니다. 대부분의 서버는 보안 결함이 많은 IIS 버전 7.5와 Microsoft FTP를 실행하고 있는 것으로 보고되었습니다.

Purple Fox 탐지

새로운 버전의 Purple Fox 악성코드에 대응하기 위해 우리는 열정적인 위협 현상금 개발자 Osman Demir: 

https://tdm.socprime.com/tdm/info/kFqJgcTCHaf3/Nh_KiHgBFLC5HdFVUJe4

이 개발한 커뮤니티 Sigma 규칙을 다운로드할 수 있습니다.

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:

MITRE ATT&CK:

전술: 지속성, 권한 상승

기법: 새로운 서비스 (T1050)위협 탐지 마켓플레이스 위협 현상금 프로그램에 가입하세요! 최신 사이버 보안 트렌드를 주의 깊게 관찰하고 위협 사냥 활동에 참여하고 싶습니까?

플랫폼으로 이동 위협 현상금에 가입하십시오