QakBot 감지: 새로운 트로이 목마 변종이 새로운 속임수를 터득

보안 전문가들은 정보 탈취자와 은행 트로이 목마의 새로운 변종이 발견되었다고 밝혔습니다. 이 트로이 목마는 QBot (명칭 QakBot, QuackBot, 또는 Pinkslipbot)로 알려져 있습니다. 이 트로이 목마는 2000년대 후반에 처음으로 탐지되었으며, 주로 피해자의 비밀번호를 탈취하려는 금융 동기 공격에 사용되었습니다. 운영자들은 새로운 전달 벡터와 회피 기술을 채택하여 새로운 트릭을 가지고 주기적으로 다시 등장합니다. 이번에는, 적들이 무장된 HTML 첨부 파일을 열게 하여 Qakbot을 설치하도록 유도하는 피싱 캠페인으로 퍼뜨립니다.

QakBot 탐지

새로 발표된 탐지 규칙을 사용하여 Nattatorn Chuensangarun 의 최신 QBot 공격을 조직의 네트워크에서 노출시키십시오:

피싱 이메일을 통해 첨부된 HTML 파일에 의해 QakBot 실행 가능성 (via process_creation)

The Sigma 규칙 은(는) 19개 이상의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있으며 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 서명된 바이너리 프록시 실행(T1218) 및 사용자 실행(T1204)을 주 기법으로 하여 방어 회피와 실행 전술을 다룹니다.

등록된 SOC Prime 사용자는 26개 이상의 SIEM, EDR 및 XDR 기술과 통합되는 200,000개 이상의 탐지 알고리즘 및 혁신적인 업종별 솔루션에 접근할 수 있습니다. QBot 공격을 탐지하기 위한 Sigma 규칙의 종합 목록에 접근하려면 아래의 탐지 및 사냥 버튼을 클릭하십시오.

네트워크를 통과하는 위협에 대한 더 나은 가시성을 확보하고, 빠르게 변화하는 위협 환경을 탐색하기 위해 SOC Prime의 최신 솔루션 – 사이버 위협 검색 엔진을 이용해보십시오. 이 검색 엔진은 무료로 제공되며, 아무 조건도 없습니다. 시도해보려면 버튼을 눌러보세요 위협 컨텍스트 탐색 버튼을 누르십시오.

탐지 및 사냥 위협 컨텍스트 탐색

QakBot 설명

최근 작전에서, QakBot의 배후자들은 ZIP 파일 확장자를 사용하여 탐지 회피 능력을 한 단계 끌어올리기 위한 새로운 접근 방식을 채택했습니다. 이는 일반적인 형식을 모방하여 대상이 Qakbot을 설치하는 악성 첨부 파일을 다운로드하게 유도합니다. 수신자가 HTML 파일을 열면, 해당 프로세스에는 자바스크립트 코드 조각의 실행이 포함됩니다. 그런 다음 로컬 변수에서 보관된 base64 문자열을 디코딩하고 내장함수를 호출하여 디코딩된 ZIP 아카이브를 저장합니다. ZIP 파일에는 텍스트 파일을 시각적으로 모방하는 윈도우 바로가기 파일이 포함됩니다. 더블 클릭하면 QakBot의 로더 프로그램이 실행됩니다. 조사 데이터에 따르면, QakBot 트로이 목마의 최신 버전은 새로운 분석 방지 기술 및 모호화 기술로 강화되었습니다.

이 캠페인에서, 범죄 해커들은 자동 보안 스캔에서의 탐지를 회피하기 위해 OCX, ooccxx, .dat, .gyp와 같은 페이로드 확장을 활용합니다.

새로운 공격은 매일 실제 환경에 나타나며, SOC 전문가들은 정확성과 노출 기반 솔루션이 필요합니다. 이는 소음을 뚫고 실제 보안 위협을 식별해 줄 수 있습니다. SOC Prime의 방대한 탐지 콘텐츠 라이브러리는 정보보안 전문가들이 보안에 대한 투자의 가치를 높이는 데 도움을 줍니다. SOC Prime의 탐지를 코드로 활용하는 플랫폼에 가입함으로써, 보안 전문가들은 가속화된 사이버 방어 능력을 통해 자신에게 실질적으로 어떻게 이점이 되는지 확인할 수 있습니다.