규칙 요약: APT 그룹, 악성코드 캠페인 및 윈도우 텔레메트리

이번 주 우리 규칙 요약 은 보통보다 더 많은 내용을 다룹니다. 이는 국가 지원 행위자의 최근 공격, 사이버 범죄자들의 악성코드 캠페인, 그리고 Windows 원격 분석을 악용한 사례를 탐지하기 위한 규칙을 컴파일합니다.

Mustang Panda는 중국 기반의 위협 그룹으로, 새로운 도구와 전술을 신속하게 자신들의 작전에 통합할 수 있는 능력을 입증했습니다. 이 APT 그룹은 일반적으로 비정부 기구를 목표로 하며, 상대방은 종종 Poison Ivy 또는 PlugX와 같은 공유 악성코드를 그들의 캠페인에서 사용합니다. 그들은 목표 시스템에 접근하고 파일을 호스트하기 위해 합법적인 도구의 파일리스, 악성 구현 학습된 도메인의 연속적인 리디렉션 및 재사용 시리즈를 사용할 수 있습니다. 

Ariel Millahuel의 규칙은 DLL-Sideload 기술(합법적인 바이너리와 함께)과 PlugX 트로이 목마 배포와 관련된 Threat Actor 활동을 밝혀냅니다. uncovers the Threat Actor activities related to the utilization of the DLL-Sideload technique (with a legitimate binary) and the PlugX Trojan deploy.

새로운 Mustang Panda 활동 가능성(PlugX Trojan 경유)

https://tdm.socprime.com/tdm/info/QjFFiT08pnJW/MT-inXIBQAH5UgbBgP0n/?p=1

PlugX Trojan을 탐지하기 위한 더 많은 규칙은 위협 탐지 마켓플레이스. 

Lookback 악성코드는 처음에 표적형 피싱 캠페인에 사용되었고, 미국 유틸리티 분야 회사를 대상으로 했습니다. 노출 이후, LookBack 트로이 목마 운영자는 피싱 이메일의 텍스트를 변경하고 조직을 계속 공격했습니다. 처음에는 이러한 공격이 중국 사이버 첩보 부대와 연관되었으나, 캠페인의 추가적인 관찰을 통해 연구원들은 TTP의 유사성이 공격자들에 의해 잘못된 깃발로 활용되어 속성화가 복잡하게 된다는 제안을 할 수 있었습니다. LookBack 캠페인과 동시에, Proofpoint 연구원들은 FlowCloud라는 새로운 추가 악성코드 계열이 확인되었고, 이는 또한 미국 유틸리티 제공업체에 전달되고 있었습니다. 이 악성코드는 위협 행위자가 감염된 기계에 대한 완전한 제어권을 제공하며, 설치된 애플리케이션 접근, 키보드, 마우스, 화면, 파일, 서비스 및 프로세스를 명령 및 제어를 통해 정보 침출 기능을 포함합니다. 공동체 규칙 Den Iuzvik 가 LookBack과 FlowCloud 악성코드 캠페인에서 TA410 그룹의 특징을 감지합니다.

TA410 LookBack 및 FlowCloud 악성코드 캠페인(Sysmon 동작)

https://tdm.socprime.com/tdm/info/lKou8ugtwy5L/yzzGnXIBSh4W_EKGDORm/?p=1

Charming Kitten은 대략 2014년부터 활동해온 이란의 사이버 첩보 부대로, 정부, 방위 기술, 군사 및 외교 분야에 관여하는 기관을 대상으로 합니다. 그들의 주된 목표는 대부분 이란, 미국, 이스라엘, 영국에 위치해 있었습니다. Charming Kitten은 주로 개인 이메일과 Facebook 계정에 접근하려 하며, 때로는 피해자의 컴퓨터에 새로운 발판을 구축하는 것을 보조 목표로 삼습니다. 공격 중 이 APT 그룹은 자주 DownPaper 백도어 트로이 목마를 사용하고, 이는 주로 다음 단계의 악성코드를 다운로드 및 실행하기 위한 기능을 합니다. 이번 주 Lee Archinal 은 DownPaper 백도어를 탐지하기 위한 일련의 규칙을 발표했습니다:

Charming Kitten Downpaper 파일 생성(Sysmon 동작)

https://tdm.socprime.com/tdm/info/rIyO0HQ4tjGE/sDzJnXIBSh4W_EKGU-YE/?p=1

Charming Kitten Downpaper 프로세스 실행됨(명령 라인)(Sysmon 동작)

https://tdm.socprime.com/tdm/info/v1Zxyz8gOqYU/7WfPnXIBPeJ4_8xc_3Sw/?p=1

Charming Kitten Downpaper 프로세스 실행(Powershell)(Sysmon 동작)

https://tdm.socprime.com/tdm/info/Skcb5qUnFq8K/fkDOnXIBQAH5UgbBZxat/?p=1

Charming Kitten Downpaper 레지스트리 수정(Sysmon 동작)

https://tdm.socprime.com/tdm/info/2QPnCf4lqAf0/iTzMnXIBSh4W_EKGU-jZ/?p=1

우리의 요약에서 계속해서 Windows 원격 분석 오용을 탐지하는 몇 가지 규칙은 2008R2/Windows 7에서 2019/Windows 10까지의 Windows 기기에 영향을 미칩니다. 공동체 규칙은 Den Iuzvik에 의해 제출되었으며, CompatTelRunner.exe의 지속성을 악용하는 방법을 발견하는 데 사용될 수 있습니다. 또한 시스템에 이미 침투하여 시스템 수준으로 특권을 상승시키려는 고급 위협 행위자의 행동을 탐지하는 데 도움이 될 수 있습니다.

Windows 원격 분석을 악용하여 CompatTelRunner.exe(Sysmon 동작)  https://tdm.socprime.com/tdm/info/BOLaiaKu9Fpr/NUDUnXIBQAH5UgbB9hop/?p=1

Window 원격 분석을 악용하여 CompatTelRunner.exe(감사 규칙)

https://tdm.socprime.com/tdm/info/0ZXi5CE8Zkwb/REDWnXIBQAH5UgbBoBvd/?p=1

또한 이러한 방식으로 지속성을 달성하는 방법을 발견하는 공동체 규칙도 출시할 것입니다. Sreeman Shanker 또한 이러한 방식으로 지속성을 달성하는 방법을 발견하는 것을

Valak은 2019년 후반 처음으로 관찰된 정교한 악성코드로, 독립적으로 정보 탈취기로 사용되어 개인과 기업을 대상으로 할 수 있습니다. Valak의 최근 버전은 Microsoft Exchange 서버를 대상으로 하여 기업 메일 정보 및 암호와 기업 인증서를 탈취합니다. 이메일 회신을 장악하고 악성 URL 또는 첨부 파일을 삽입하여 파일리스 스크립트로 기기를 감염시킬 수 있습니다. 발견된 캠페인은 특히 미국과 독일의 기업을 목표로 하고 있었습니다. 새로운 규칙은 Osman Demir 가 이 위협을 기업 네트워크에서 식별하기 위해 목표로 삼고 있습니다.

Valak 악성코드와 Gozi 로더 ConfCrew와의 연결

https://tdm.socprime.com/tdm/info/1rwi3PwN6Dya/wGoao3IBPeJ4_8xcH4Ii/?p=1

규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 초기 접근, 방어 회피, 실행, 지속성, 권한 상승, 명령 및 제어 

기술: 첨부 파일 스피어피싱 (T1193), DLL 사이드 로딩 (T1073), 레지스트리 실행 키 / 시작 폴더 (T1060), 예약 작업 (T1053), 레지스트리 수정 (T1112), 명령 줄 인터페이스 (T1059), PowerShell (T1086), 스크립팅 (T1064), 일반적으로 사용되는 포트 (T1043), 타임스템프 (T1099)

다음 주 주간 요약을 기다리시고, 사이버 보안의 최신 소식을 다루는 주간 토크에 등록하는 것을 잊지 마세요: https://my.socprime.com/en/weekly-talks/