SquirrelWaffle 악성코드 탐지

[post-views]
11월 03, 2021 · 3 분 읽기
SquirrelWaffle 악성코드 탐지

왕좌는 결코 비지 않습니다! SquirrelWaffle을 만나보세요, 이 새로운 악성 로더는 악명 높은 Emotet을 대체하기 위해 도시에 등장했습니다. 2021년 가을 초부터 SquirrelWaffle은 적들이 Qakbot 및 Cobalt Strike와 같은 샘플을 포함한 2단계 페이로드를 배포할 수 있도록 스팸 캠페인을 통해 대량으로 호스트를 손상시키고 있습니다.

공격 킬 체인

SquirrelWaffle 은 2021년 9월 중순에 처음 발견된 스팸 도메인의 신입입니다. 이는 부비트랩이 설치된 Microsoft Office 문서에 의존한 악성 스팸의 도움으로 점점 더 밀려왔습니다.

에 따르면 분석 Cisco Talos가 수행한 SquirrelWaffle 공격 프레임워크의 결과, 적들은 이메일 스레드 하이재킹 기법을 사용하여 스팸을 기존 이메일 스레드에 대한 합법적인 답장처럼 가장했습니다. 이러한 전술은 Emotet의 신뢰성을 얻는 접근 방식을 모방하며 SquirrelWaffle 유지 관리자가 Emotet 의 명성을 노리고 있음을 입증합니다.

주목할 점은 대부분의 가짜 알림이 영어로 전달되지만 기본적인 현지화가 수행된다는 점입니다. 스팸은 원래 이메일 스레드에 맞게 언어를 즉시 변경합니다. 현재 연구원들은 프랑스어, 네덜란드어, 독일어 및 폴란드어가 주류인 영어 메시지 외에도 사용되는 것을 감지했습니다.

스팸에는 해커가 제어하는 서버에 위치한 악성 ZIP 보관 파일로 피해자를 리디렉션하는 링크가 포함되어 있습니다. 보관 파일에는 열리면 감염된 머신에 악성 소프트웨어를 드롭하는 Word 또는 Excel 파일이 포함되어 있습니다. 주목할 점은 적들이 피해자를 오도하고 매크로를 활성화하도록 설득하기 위해 DocuSign 서명 서비스를 활용한다는 것입니다. SquirrelWaffle이 사용자의 머신에 성공적으로 다운로드되면 Qakbot과 같은 두 번째 단계 악성 소프트웨어를 드롭합니다. Qakbot 악성 소프트웨어나 CobaltStrike 침투 테스트 도구입니다.

흔적을 남기지 않고 탐지를 피하기 위해 SquirrelWaffle은 주요 보안 업체들에 걸쳐 등록된 IP 차단 목록을 활용합니다. 또한, 새로운 로더와 커맨드 앤 컨트롤(C&C) 인프라 간의 모든 통신은 XOR 및 Base64로 암호화되어 HTTP POST 요청을 통해 전송됩니다. 마지막으로 캠페인의 파일 배포 부분에서 성공하기 위해, 공격자들은 주로 WordPress 5.8.1을 실행 중인 이전에 손상된 웹 서버에 의존합니다.

SquirrelWaffle 탐지 및 완화

SquirrelWaffle이 그 악의적인 노력을 가속화함에 따라 전 세계 기업들은 새로운 위협에 대한 방어를 강화해야 합니다. 인프라에 대한 공격 가능성을 탐지하기 위해, SOC Prime의 Detection as Code 플랫폼에서 사용할 수 있는 Sigma 규칙 세트를 다운로드할 수 있습니다.

CobaltStrike와 함께하는 SquirrelWaffle 로더 활동

SquirrelWaffle 악성 소프트웨어가 Cobalt Strike를 드롭합니다

SquirrelWaffle 행동 패턴 (cmdline 사용)

SquirrelWaffle이 악성 스팸 캠페인을 통해 피해자를 손상시킵니다

Qakbot 및 CobaltStrike와 함께하는 SquirrelWaffle 로더

Cobalt Strike가 포함된 새로운 SquirrelWaffle 악성 소프트웨어 (프록시 사용)

SquirrelWaffle 감염을 다루는 탐지 콘텐츠의 전체 목록은 여기. 에서 확인하실 수 있습니다. 모든 탐지 규칙은 MITRE ATT&CK 프레임워크에 매핑되고, 철저하게 큐레이션되고 검증됩니다.

세계 최초의 Detection as Code 플랫폼 에서 협력적인 사이버 방어, 위협 사냥 및 발견을 통해 위협 탐지 능력을 향상시키고 공격으로부터 더 쉽게, 빠르게, 효율적으로 방어하세요. Sigma 및 YARA 규칙을 직접 만들어 세상을 더 안전한 곳으로 만들고 싶으신가요? 가치를 제공하시면 반복적인 보상을 받는 Threat Bounty Program에 참여하세요!

플랫폼으로 이동 Threat Bounty 참여

목차

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.
무료 가입하기 미팅 예약하기

관련 게시물

CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 4 분 읽기 최신 위협 CVE-2025-8088 탐지: WinRAR 제로데이, RomCom 악성코드를 설치하기 위해 야생에서 적극적으로 악용됨 by Daryna Olyniychuk 시크릿 블리자드 공격 탐지: 러시아 지원 APT 그룹, 아폴로섀도우 악성코드로 모스크바 외국 대사관 공격 4 분 읽기 최신 위협 시크릿 블리자드 공격 탐지: 러시아 지원 APT 그룹, 아폴로섀도우 악성코드로 모스크바 외국 대사관 공격 by Daryna Olyniychuk CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈 3 분 읽기 최신 위협 CVE-2025-8292: Google Chrome Use After Free 취약점으로 인한 RCE 및 시스템 탈 by Daryna Olyniychuk
모든 뉴스