스모크로더 악성코드 탐지: 악명 높은 로더가 대만 기업을 다시 겨냥하다

[post-views]
12월 03, 2024 · 3 분 읽기
스모크로더 악성코드 탐지: 악명 높은 로더가 대만 기업을 다시 겨냥하다

악명 높은 SmokeLoader 멀웨어 가 제조업, 의료, IT를 포함한 다양한 산업 부문의 대만 기업들을 겨냥하는 사이버 위협 무대에 다시 등장하고 있습니다. 일반적으로 다른 악성 샘플을 배포하기 위한 다운로드 프로그램으로 사용되지만, 최신 공격 캠페인에서는 SmokeLoader가 C2 서버에서 플러그인을 가져와 직접 공격을 실행합니다.

SmokeLoader 멀웨어 탐지

거의 1억 개의 새로운 악성 코드가 2024년에만 감지되어 끊임없이 증가하는 위협 지형을 강조하고 있습니다. 기존 및 신규 위협을 확장하기 위해 보안 전문가들은 인공지능 기반 탐지 엔지니어링을 위한 혁신적인 솔루션, 자동화 위협 사냥, AI 기반 탐지 엔지니어링을 지원하는 세계 최대의 탐지 알고리즘 라이브러리를 제공하는 SOC Prime 플랫폼을 이용하여 집단 사이버 방어를 수행할 수 있습니다.

대만 조직을 대상으로 한 최신 SmokeLoader 공격을 해결하는 전용 Sigma 규칙 스택에 접근하려면 아래 탐지 탐색 버튼을 클릭하십시오. 모든 탐지는 MITRE ATT&CK® 와 정렬되어 있으며, CTI 및 기타 관련 메타데이터를 포함해 경고하고 연구를 간소화하는 사이버 위협 컨텍스트를 제공합니다. 보안 엔지니어는 또한 탐지 코드를 30개 이상의 SIEM, EDR, Data Lake 형식으로 변환하여 보안 요구에 맞출 수 있습니다.

탐지 탐색

추가적으로, 사이버 방어자들은 Threat Detection Marketplace에에서 ‘AndeLoader‘, ‘SmokeLoader‘ 태그를 탐색하여 SmokeLoader 공격과 관련된 전술, 기술 및 절차(TTP)를 더 깊이 탐구할 수 있습니다.

보안 엔지니어는 또한 Uncoder AI 를 활용하여 SmokeLoader 공격에서 관찰된 적대자의 TTP의 IOC 패키징과 교차 분석을 간소화할 수 있습니다. 관련 연구 의 Fortinet가 제공한 IOCs를 다양한 SIEM, EDR, Data Lake 언어에 호환 가능한 맞춤형 쿼리로 즉시 변환하십시오.

대만에 대한 SmokeLoader 공격과 관련된 IOC를 사냥하기 위해 Uncoder AI를 사용하세요.

SmokeLoader 공격 분석

FortiGuard Labs 연구자들은 최근 대만 조직을 대상으로 한 새로운 적대자 캠페인 을 SmokeLoader 멀웨어를 활용하여 밝혔습니다. 2011년 사이버 위협 지형에 등장한 SmokeLoader는 적응성과 정교한 탐지 회피 능력으로 악명이 높습니다. 이 멀웨어는 또한 다양한 공격을 실행할 수 있도록 해주는 모듈형 아키텍처로도 주목할 만합니다. 일반적으로 다른 악성 샘플을 다운로드하기 위한 기능을 수행하지만, 최신 공격 캠페인에서는 SmokeLoader 멀웨어가 좀 더 적극적인 역할을 수행하여 공격을 직접 시작하고 C2 서버에서 플러그인을 가져옵니다.

이 악명 높은 로더는 주로 우크라이나에 대해 2023~2024년 동안 여러 피싱 캠페인에서 활용된 UAC-0006 그룹의 적대자 도구 세트에 속합니다.

대만을 겨냥한 최신 캠페인에서 감염 흐름은 Microsoft Excel 첨부 파일을 전달하는 피싱 이메일로 시작됩니다. 열면 이 첨부 파일은 Microsoft Office의 알려진 취약점인 CVE-2017-0199와 CVE-2017-11882를 활용하여 Ande Loader로 알려진 멀웨어 로더를 설치하고, 이어지는 단계에서 영향을 받은 시스템에 SmokeLoader를 배포합니다.

SmokeLoader는 스테이저와 메인 모듈이라는 두 가지 주요 구성 요소로 구성됩니다. 스테이저의 역할은 탐지, 압축 해제, 메인 모듈을 explorer.exe 프로세스에 주입하는 것입니다. 메인 모듈은 이후 통신 인프라와의 연결을 유지하고 명령을 실행하면서 악성 활동을 지속적으로 수행합니다. 최근 관찰된 캠페인에서 SmokeLoader는 웹 브라우저, Outlook, Thunderbird, FileZilla, WinSCP와 같은 응용 프로그램에서 로그인 자격 증명, FTP 정보, 이메일 주소, 쿠키 및 기타 민감한 데이터를 추출할 수 있는 다양한 플러그인을 채택합니다.

SmokeLoader의 높은 적응력은 방어자가 잘 알려진 멀웨어에 대해서도 경계를 늦추지 않아야 할 필요성을 강조합니다. 이러한 도전에 대응하기 위해 SOC Prime은 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥, 고급 위협 탐지를 위한 완전한 제품군 을 제공하여 보안 팀이 어떤 규모와 정교함에서도 사이버 공격을 사전에 방지할 수 있도록 지원합니다.

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
블로그, 최신 위협 — 3 분 읽기
XE 그룹 활동 탐지: 신용카드 스키밍에서 CVE-2024-57968 및 CVE-2025-25181 VeraCore 제로데이 취약점 악용까지
Veronika Telychko
Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인
블로그, 최신 위협 — 3 분 읽기
Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인
Veronika Telychko
TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads
블로그, 최신 위협 — 4 분 읽기
TorNet Backdoor Detection: An Ongoing Phishing Email Campaign Uses PureCrypter Malware to Drop Other Payloads
Veronika Telychko