Strela Stealer 공격 탐지: 새 멀웨어 변형이 스페인, 이탈리아, 독일과 함께 우크라이나를 타겟으로 설정

[post-views]
12월 27, 2024 · 3 분 읽기
Strela Stealer 공격 탐지: 새 멀웨어 변형이 스페인, 이탈리아, 독일과 함께 우크라이나를 타겟으로 설정

보안 전문가들은 새로운 Strela Stealer 캠페인을 발견했으며, 이는 이메일 자격 증명을 탈취하는 악성코드의 새로운 버전을 활용합니다. 이번 캠페인에서는 업데이트된 악성코드 버전이 더욱 강화된 기능으로 풍부하며 이제 “system info” 유틸리티를 통해 시스템 구성 데이터를 수집할 수 있습니다. 게다가, Strela Stealer는 스페인, 이탈리아, 독일을 넘어 우크라이나를 새로운 표적으로 삼고 있습니다.

Strela Stealer 공격 탐지

Statista에 따르면 매일 약 560,000개의 새로운 악성코드가 탐지됩니다. Statista에 따르면. 이는 점점 더 커지는 공격 표면을 강조하며 이는 사이버 보안 담당자들에게 상당한 도전 과제가 됩니다. 사이버 위협을 확장하고 제때 악성 공격을 탐지하기 위해 사이버 수비들은 SOC 프라임 플랫폼 을 통해 고급 위협 탐지와 헌팅을 위한 완전한 제품군을 제공받을 수 있습니다.

최신 Strela Stealer 공격을 대응하기 위해, SOC 프라임 플랫폼은 CTI로 풍부해진 탐지 규칙들을 제공합니다. 탐지 규칙 탐색 를 눌러 즉시 관련 탐지 규칙에 접근할 수 있으며, 이는 MITRE ATT&CK® 프레임워크 에 매핑되고 30개 이상의 SIEM, EDR 및 데이터 레이크 기술과 호환됩니다.

탐지 규칙 탐색

보안 엔지니어 또한 Uncoder AI 를 활용해 IOCs를 매끄럽게 패킹하고 적들의 TTP에 대한 사후 분석을 수행할 수 있습니다. SonicWall의 연구 에서 해당하는 IOCs를 다양한 SIEM, EDR 및 데이터 레이크 언어와 호환되는 맞춤형 쿼리로 즉시 변환합니다.

Strela Stealer 공격과 관련된 IOCs를 Uncoder AI를 통해 SonicWall 캡처랩 연구에 기반하여 탐색합니다.

Strela Stealer 공격 분석: 우크라이나를 향한 새로운 캠페인

SonicWall 캡처랩 팀은 2024년 내내 활동을 계속하는 Strela Stealer 악성코드를 추적해 왔습니다. 2024년 11월 초, 악성 코드가 피싱 이메일을 통해 전파되어 중부 및 남서부 유럽의 사용자들을 대상하는 은밀한 캠페인에서 출현했습니다. 이 과정에서 난독화된 JavaScript와 WebDAV를 활용하여 전통적인 보안 방어를 우회하고 지속적으로 진화하며 자격증을 탈취하는 능력을 향상시켜 탐지를 피했습니다.

새로운 Strela Stealer 버전이 최근 중요한 업데이트와 함께 확인되었습니다. 이 악성코드는 이제 스페인, 이탈리아, 독일을 넘어 우크라이나까지 확장되고 있습니다.

감염 흐름은 아카이브된 이메일 첨부 파일에서 전송된 JavaScript로 시작됩니다. 실행되면 Regsvr32.exe를 통해 네트워크 위치에서 공유된 DLL을 실행하는 PowerShell 스크립트를 트리거하여 디스크 저장을 우회합니다. 이 은밀한 방법은 악성 DLL이 직접 네트워크 위치에서 실행되도록 보장합니다.

최신 Strela Stealer 변종의 64비트 DLL은 페이로드를 로드하는 역할을 하며, 인코딩된 코어는 데이터 섹션에 저장되어 있습니다. 악성코드는 사용자 정의 XOR을 통해 무기화된 파일을 해독합니다. 업그레이드된 Strela Stealer 변종은 쓰레시 코드와 많은 점프 명령으로 반 악성코드 분석을 방해하는 고급 난독화 기능을 나타냅니다.

DLL은 페이로드를 해독하고 필요한 가져오기를 해결하여 이를 실행하며, RCX는 페이로드의 진입점을 가리킵니다. 래퍼 DLL과 페이로드 모두 유사한 난독화 방법을 포함하고 있으며, 이는 이 새로운 변종의 가장 정교한 업데이트를 가리킵니다.

주입된 페이로드는 64비트 실행 파일로서 “GetKeyboardLayoutList” API를 사용하여 설치된 키보드 레이아웃을 확인하고 일치하는 것이 없으면 종료됩니다. 원래 Outlook과 Thunderbird에서 이메일 자격 증명을 훔치기 위해 만들어진 업데이트된 악성코드 변종은 이제 “system info” 유틸리티를 사용하여 시스템 구성 데이터를 수집합니다. 출력은 임시 파일에 저장되고 암호화되어 POST 요청을 통해 서버로 전송됩니다. 탈취된 데이터는 암호화된 후 서버의 “OK” 응답을 기다립니다.

Strela Stealer의 확대되는 위협은 디스크에 흔적을 남기지 않고 작동할 수 있는 고급 난독화 기술로 표시되며, 우크라이나로의 확장을 통해 탐지가 더욱 어려워짐에 따라 더욱 사이버 경계감이 요구됩니다. SOC 프라임 플랫폼 공동 사이버 방어를 위한 기술을 통해 조직은 첨단 기술을 제공받아 사이버 위협을 확장하고 방어를 강화하며 강력한 사이버 보안 태세를 구축할 수 있습니다.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물