SnipBot 탐지: 새로운 RomCom 멀웨어 변종이 사용자 정의 코드 난독화 방법과 정교한 회피 기법을 활용

새로운 반복되는 RomCom 악성코드 군이 사이버 위협 영역에서 등장했습니다. 새로운 악성코드, SnipBot이라고 이름 붙여진 이 코드는 교묘한 분석 방지 기술과 맞춤형 코드 난독화 방법을 사용하여 피해자의 네트워크 내에서 가로 이동하고 데이터 유출을 수행합니다.

SnipBot 악성코드 탐지

악명 높은 RomCom 악성코드가 새로운 SnipBot 변종과 함께 다시 등장하여 Cuba 랜섬웨어 배포를 위해 Tropical Scorpius(aka UNC2596/UAC-0132)에 의해 적극적으로 사용되고 있습니다. 이 그룹은 우크라이나 관료를 대상으로 한 표적 공격에서도 이전의 RomCom 버전을 활용했습니다.

강화된 SnipBot 백도어를 활용한 공격에 앞서기 위해 보안 전문가들은 SOC Prime Platform 을(를) 집단 사이버 방어를 위해 활용할 수 있습니다. 고급 위협 탐지, 자동화된 위협 사냥, 인공지능 기반 탐지 엔지니어링에 맞춘 완전한 제품군과 함께 Sigma 규칙 전용 컬렉션에 접근하세요. 탐지 탐색 버튼을 아래에서 클릭하여 SnipBot 공격을 다루는 탐지 알고리즘의 모음으로 바로 이동하세요.

탐지 탐색

탐지 알고리즘은 MITRE ATT&CK® 프레임워크 에 맞춰져 있으며 관련 CTI 링크, 완화 방안, 실행 가능한 바이너리 등을 포함한 포괄적인 사이버 위협 맥락으로 보강되어 있습니다. Sigma 규칙과 함께, 팀은 업계 선도적인 SIEM, EDR, XDR 솔루션에 대한 규칙 번역을 즉시 이용할 수 있습니다.

또한, RomCom 악성코드 공격을 회고적으로 분석하고자 하는 보안 전문가들은 “RomCom” 태그로 Threat Detection Marketplace에서 더 관련성 높은 탐지를 검색할 수 있습니다.

SnipBot 악성코드 분석

2022년 늦은 봄에, Cuba 랜섬웨어 유지관리자 들이 독점적으로 제작한 RAT인 RomCom을 배포하여 사이버 위협 환경에 강력하게 복귀했습니다. 이후 2022년 중반 가을, CERT-UA는 진행 중인 우크라이나 관료를 대상으로 한 피싱 캠페인에서 RomCom 악성코드. 

가 활용되고 있다는 것을 글로벌 사이버 보안 커뮤니티에 경고했습니다. Unit42 연구원들은 최근

2023년 12월까지 거슬러 올라가는 관련 악성코드 군을 밝혀낸 초기 분석에서 2024년 초 4월에 감지된 SnipBot 도구 세트의 일부인 비정상적인 DLL 모듈을 탐지했습니다. 네트워크 내에서 측면 이동 및 파일 추출 시도의 증거가 있습니다. SnipBot은 공격자가 침해된 시스템에서 명령을 실행하고 추가 모듈을 다운로드하게 합니다. RomCom 3.0과 그 분파인 PEAPOD (RomCom 4.0) 버전의 전형적인 특성을 결합한 새로운 변종의 기능에 기반하여, Unit42 연구원들은 최신 반복 버전을 RomCom 5.0으로 추적하고 있습니다.

SnipBot은 여러 단계로 작동하며, 처음에는 실행 파일 다운로더로 시작하지만 후속 페이로드는 EXE 또는 DLL 파일입니다. 감염 체인은 PDF 파일로 위장된 실행 파일 다운로더의 링크 또는 실제 PDF가 포함된 이메일로 시작합니다. 제공된 링크를 클릭하면 폰트 패키지를 다운로드하고 설치하려는 것처럼 보이며, SnipBot 다운로더를 실행합니다.

Cortex XDR 텔레메트리로 Unit42 연구원들은 주로 명령줄 작업인 감염 후 활동을 복구했습니다. SnipBot의 주요 모듈인 “single.dll”을 통해, 공격자들은 내부 네트워크의 도메인 컨트롤러를 포함한 정보를 먼저 수집한 후, 피해자의 문서, 다운로드, OneDrive 폴더에서 파일을 탈취하려 시도했습니다.

RomCom 뒤의 공격자들은 IT 서비스, 법률, 농업 분야의 조직을 포함한 다양한 희생자들을 목표로 삼아왔습니다. 방어자들은 SnipBot 유지관리자들이 금융적 이득보다는 사이버 첩보 작전으로 초점을 옮기고 있으며, 우크라이나와 그 동맹국들이 여전히 목표임을 고려합니다.

RomCom 악성코드 군의 지속적인 진화와 최신 SnipBot 반복 이터레이션의 분석을 통해 식별된 향상된 기능은 증가하는 사이버 위협으로부터 조직의 방어와 데이터를 보호하기 위해 지속적인 경각심과 고급 보안 조치의 필요성을 강조합니다. SOC Prime의 공격 탐지기 를 신뢰하여 SIEM 입지를 강화하고, 높은 정밀도를 갖춘 경보 사용 사례를 획득하며 사이버 보안 전략에 완벽하게 맞춰진 패키지 위협 사냥 기능을 채택하십시오.