Raccoon Stealer 탐지: RecordBreaker라는 새로운 버전 2.0 악성코드, 해커에게 고급 비밀번호 훔치기 기능 제공

악명 높은 Raccoon Stealer가 이전에 서비스형 악성코드(MaaS) 모델로 배포되었던 것으로, 더 발전된 기능을 탑재한 새로운 버전 2.0으로 사이버 위협 무대로 돌아왔습니다. Raccoon Stealer 악성코드는 이전에 Dridex 트로이 목마 와 교체되었다고 보고되었습니다. RIG 익스플로잇 키트 의 일부로 진행 중인 캠페인의 일환으로 말입니다. 일시적인 중단 은 2022년 3월에 악성코드 운영에서 발생했으며,

사이버 보안 연구원들은 최근 야생에서 관찰된 Raccoon Stealer 2.0과 유사성을 공유하는 새로운 악성코드 패밀리를 공개했습니다. 새롭게 명명된 악성코드 RecordBreaker는 현재 정보 탈취 시장과 해커 포럼에서 활발히 활동 중이며, 위협 행위자들이 업그레이드된 비밀번호 탈취 기능과 향상된 악성코드 기능을 활용할 수 있게 합니다.

Raccoon Stealer 2.0 탐지

계속해서 증가하는 공격량은 사이버 방어자에게 초고속 대응성과 가속화된 속도를 요구합니다. SOC Prime의 Detection as Code 플랫폼은 보안 전문가에게 위협 발견 후 24시간 이내에 최신 탐지 콘텐츠를 제공하는 고급 사이버 방어 기능을 제공합니다. 새로운 Raccoon Stealer 2.0 악성코드 버전을 예방적으로 방어하려면 RecordBreaker로도 알려진 전용 Sigma 규칙 을 참조하세요. Osman Demir이 작성하였습니다.

의심스러운 Recordbreaker Stealer Command and Control by Detection of Associated User Agent (via proxy)

SOC Prime는 숙련된 연구자와 잠재성을 지닌 위협 사냥꾼을 Threat Bounty Program 에 참여하도록 환영하며, 이들은 전문 기술 세트를 통해 집단적인 사이버 보안 지식을 강화하고 자기 개발 및 추가 기여의 기회를 얻을 수 있습니다.

위 Sigma 규칙은 SOC Prime의 플랫폼에서 지원하는 19개의 SIEM, EDR, XDR 솔루션에 적용 가능하며, MITRE ATT&CK® 프레임워크 에 따라 Command and Control 전술과 관련된 Application Layer Protocol (T1071) 기술을 다루고 있습니다.

Raccoon Stealer 탐지를 위한 25개 이상의 SIEM, EDR, XDR 솔루션으로 번역된 Sigma 규칙들을 포괄적으로 탐색하려면, 아래의 탐지 및 추적 버튼을 클릭하세요. 전용 규칙 키트는 등록된 사용자만 액세스할 수 있습니다. 관련 위협을 검색하고 CTI 및 MITRE ATT&CK 참조와 같은 컨텍스트 메타데이터로 즉시 탐구할 수 있는 간편한 방법을 찾고 계십니까? 아래의 위협 컨텍스트 탐구 버튼을 클릭하여 SOC Prime의 탐지 엔진을 사용하여 Raccoon Stealer 악성코드와 관련된 검색 결과를 깊이 있게 조사하세요.

탐지 및 추적 위협 컨텍스트 탐구

Raccoon Stealer 악성코드 분석

2022년 6월부터 Raccoon Stealer의 베타 버전이 해커 커뮤니티 내에서 적극적으로 테스트되었으며, Raccoon 2.0은 이미 제한된 수의 위협 행위자에게 월 $275의 가격으로 판매되고 있습니다.

최신 Raccoon Stealer 버전, 즉 RecordBreaker는 C/C++로 처음부터 코딩되어 있으며, 새로운 백엔드와 사용자의 자격 증명 및 민감한 데이터를 잡아낼 수 있는 기능을 보유하고 있습니다.

Sekoia의 심층적인 조사에 따르면, Raccoon Stealer 2.0은 시스템 지문, 브라우저 데이터, 암호화폐 지갑, 웹 브라우저 확장 프로그램, 모든 디스크에 위치한 개별 파일 등을 탈취할 수 있습니다. 또한, 새로운 변형은 스크린샷을 찍고 설치된 앱 목록을 수집할 수 있습니다. 비록 악성코드 운영자들이 모든 탈취된 세부 정보가 암호화된다고 주장하지만, Sekoia 연구원들은 이러한 종류의 기능을 관찰하지 못했습니다.

특히 새로운 Raccoon 버전은 새로운 정보를 수집할 때마다 데이터를 전송합니다. 비록 이러한 행동이 탐지 위험을 크게 증가시키지만, 이러한 행동은 최대의 효과를 보장하며 감시망 아래에서 활동할 수 있습니다.

무료로 가입하여 SOC Prime의 Detection as Code 플랫폼에서 업계 최고 관행과 공유된 전문 지식을 통해 안전한 미래를 작성하세요. SOC Prime의 플랫폼은 이를 통해 Threat Bounty Program 보안 실무자들이 최상위 이니셔티브에 참가하고, 자신만의 탐지 콘텐츠를 공유하며, 기여를 통해 수익을 올리는 사이버 방어 운영을 강화할 수 있도록 합니다.