은밀한 Strela Stealer 탐지: 정보 탈취 멀웨어가 중앙 및 남서 유럽을 겨냥하여 기능을 강화하며 재등장

보안 연구원들은 중앙 및 남서부 유럽의 사용자들을 대상으로 이메일 자격증명 탈취기를 겨냥한 은밀한 캠페인을 공개했습니다. 스트렐라(Strela)라 불리는 이 교묘한 멀웨어는 피싱 이메일을 통해 배포되며, 일반적인 보안 조치를 우회하기 위해 난독화된 JavaScript와 WebDAV를 활용합니다. 2년 전 처음 등장한 이후 Strela Stealer는 악성 기능을 크게 강화하여 탐지되지 않으면서도 알지 못하는 사용자들의 민감한 데이터를 비밀리에 탈취하고 있습니다.

은밀한 Strela Stealer 공격 탐지

IBM에 따르면, 피싱은 2024년에도 여전히 주요 감염 벡터로 남아 있으며, 40% 이상의 보안 사고 가 초기 접근 지점으로 피싱을 활용합니다. Strela Stealer 공격과 같은 신흥 위협을 사전에 탐지하고 저항하기 위해 보안 전문가들은 SOC Prime Platform을 통해 모든 고급 위협 감지 및 사냥에 대한 집단적인 사이버 방어를 완비된 제품군으로 활용할 수 있습니다.

최근 Strela Stealer 캠페인에 대응하여 SOC Prime Platform은 관련 악성 활동을 가장 이른 단계에서 식별하기 위한 엄선된 Sigma 규칙 세트를 제공합니다. 아래의 탐지 목록 보기 버튼을 클릭하여 SOC Prime 팀 및 숙련된 Threat Bounty 개발자 Davut Selcuk이 제공하는 관련 탐지 규칙으로 바로 이동하십시오. 

탐지 목록 보기

모든 탐지는 광범위한 위협 정보, 공격 타임라인 및 추가 메타데이터와 함께 제공됩니다. 또한, 모든 규칙은 30개 이상의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환되며 MITRE ATT&CK® 프레임워크.

에 매핑되어 있습니다. 집단적인 사이버 방어에 기여하고 싶으신가요? 사이버 보안 전문가로서의 기술을 신장하고 집단적인 산업 전문성을 풍부히 하며 기여에 대한 재정적 보상을 받기 위해 크라우드 소싱된 Threat Bounty 프로그램에 참여하세요. 

Strela Stealer 분석

Cyble 연구 및 정보 연구소 는 독일과 스페인을 주로 목표로 하는 은밀한 피싱 캠페인을 공개했습니다. 이 캠페인은 난독화된 JavaScript와 WebDAV를 활용하여 페이로드를 전달하고 민감한 사용자 데이터를 탈취합니다. 최종 페이로드는 난독화된 JavaScript와 PowerShell 명령어를 통해 보안 조치를 우회하는 스트렐라 스틸러(Strela Stealer)의 새로운 고급 변형입니다. 자격 증명 탈취 외에도 Strela Stealer는 광범위한 시스템 정보를 수집하며, 이는 공격자가 정찰을 수행하고 손상된 시스템에서 추가 목표 활동을 시작할 수 있게 해줍니다.

적어도 2022년 후반부터 사이버 위협 분야에서 활동하고 있는 Strela Stealer는 인기 있는 이메일 클라이언트에서 이메일 계정 자격 증명을 추출하도록 특수 제작된 정보 탈취기입니다. 최근 캠페인에서 적대자들은 WScript를 통해 실행되도록 설계된 난독화된 JavaScript 코드를 포함하는 ZIP 파일을 포함하는 스피어 피싱 이메일을 사용하는 전술을 발전시켰습니다. 감염 사슬은 최근 거래에 대한 사기성 송장 알림과 함께 무기화된 JavaScript 파일을 포함하는 ZIP 첨부 파일로 시작됩니다. 후자는 Base64로 인코딩된 PowerShell 명령어를 실행하여 WebDAV 서버에서 악성 DLL을 가져옵니다. 이는 공격자가 자주 무기화하는 Microsoft 서명 유틸리티인 ‘rundll32.exe’를 통해 실행됩니다. 이 기술은 악성 DLL 파일이 디스크에 저장되지 않도록 하여 보안 방어를 우회할 수 있게 합니다. 언어 일치를 GetKeyboardLayout API를 통해 감지하면 이탈리아 및 스페인과 관련된 특정 악성 목표로 계속 실행됩니다.

Strela Stealer 감염 위험을 최소화하기 위한 잠재적인 완화 조치는 WebDAV 서버에 대한 엄격한 접근 제어를 실행하고 비즈니스 운영에 필요하지 않은 엔드포인트에서 PowerShell 및 기타 스크립트 실행을 제한하는 것을 포함합니다.

위협 행위자가 난독화와 탐지 회피 기술에 의존하는 정보 탈취 멀웨어의 더 고급 변형을 채택함에 따라 방어자는 사전 보안 조치를 강화하는 것이 필수적입니다. AI 기반 탐지 엔지니어링, 자동화된 위협 헌팅 및 고급 위협 감지를 위한 SOC Prime의 완전한 제품군 에 의존함으로써 보안 팀은 모든 복잡도의 공격을 사전에 저지하고 조직의 사이버 보안 태세를 강화할 수 있습니다.