SVCReady 멀웨어 탐지: 피싱을 통해 대량 배포되는 새로운 로더

새로운 악성 로더인 SVCReady를 만나보세요! 이 새로운 변종은 2022년 4월 이후 피싱 캠페인을 통해 널리 유포되며, 비정상적인 감염 루틴을 활용하고 있습니다. 전문가들에 따르면, SVCReady는 Microsoft Office 문서의 속성에 숨겨진 셸코드에 의존하여 보안 솔루션의 레이더를 피하고 있습니다. 현재 악성코드는 활발히 개발 중이며, 이제까지 관찰된 바에 따르면 빈번한 기능 업데이트가 있으므로, 곧 고급 속임수와 기능이 추가되어 그 능력을 강화할 수 있습니다.

SVCReady 악성코드 탐지

노련한 Threat Bounty 개발자의 전용 Sigma 규칙으로 새로운 SVCReady 로더와 관련된 악성 활동을 발견하세요 Kaan Yeniyol. 당신의 위협 탐지 기술을 수익화하고 싶으신가요? 저희의 위협 현상금 프로그램에 참여하여, Sigma 규칙을 SOC Prime 플랫폼에 게시하고, 협업 사이버 방어에 기여하면서 반복적인 보상을 받으세요.

아래 규칙은 관련된 예약 작업을 식별하여 의심스러운 SVCReady 지속성을 탐지합니다.

보안 경로를 통한 관련 예약 작업 탐지로 의심스러운 SVCReady 악성코드 (2022년 6월) 지속성

탐지는 18가지 SIEM, EDR 및 XDR 형식과 호환되며 MITRE ATT&CK® 프레임워크버전 10에 맞추어 예약 작업/작업 (T1053)을 주요 기술로 하는 실행 전술을 다룹니다.

최신 사이버 위협을 탐지하기 위한 Sigma 규칙 전체 컬렉션에 접근하려면 아래의 탐지 및 사냥 버튼을 누르세요. 위협 사냥에 대한 아이디어, 탐지 엔지니어링 가이드라인 및 최신 사이버 위협 인텔리전스 링크를 포함한 추가 위협 컨텍스트를 탐구하려면 위협 컨텍스트 탐색 버튼 을 클릭하고 바로 SOC Prime의 사이버 위협 검색 엔진으로 이동하세요.

탐지 및 사냥 위협 컨텍스트 탐색

SVCReady 분석

According to the 조사 에 따르면 HP의 위협 연구팀에 의해 SVCReady는 2022년 4월에 등장한 이전에는 기록되지 않은 악성코드 계열입니다. 이후, 새로운 로더가 피싱 캠페인을 통해 대량으로 배포되고 있습니다.

감염 사슬은 일반적으로 악성 Microsoft Word 문서가 첨부된 피싱 이메일로 시작됩니다. 그러나 전통적인 악성 매크로를 통한 PowerShell 또는 MSHTA 활용 대신, SVCReady 담당자는 VBA를 사용하여 .doc 파일 속성에 삽입된 셸코드를 실행합니다. 매크로와 함께 셸코드를 추출하고 실행한 후, Windows API 기능인“Virtual Protect”를 사용하여 실행 가능한 접근 권한을 얻기 위해 메모리에 로드됩니다. 다음 단계에서 SetTimer API는 타겟 인스턴스에 떨어뜨려지는 악성코드 페이로드로 끝나는 셸코드를 실행합니다.

감염 후 SVCReady 로더는 파일 다운로드, 화면 캡처, 셸 명령 실행, 예약 작업을 통한 지속성과 추가 페이로드 전달을 포함하여 컴프롬된 클라이언트에서 긴급한 악성 활동을 수행할 수 있습니다. HP 연구자들은 2022년 4월 SVCReady에 의해 여러 사례의 RedLine 스틸러 가 떨어졌음을 확인했습니다.

TA551 (Shatak) 집단 이 SVCReady 캠페인을 운영하고 있다고 의심하고 있으며, HP 전문가들은 전술에서 큰 중복을 관찰합니다. 특히 이미지 미끼, 리소스 URL, 과거에 관찰된 TA551 루틴과 관련된 다른 세부사항이 SVCReady와 관련이 있다고 지적합니다. 그러나 캠페인의 정확한 기여도는 현재 불분명합니다.

협업 사이버 방어의 힘을 활용하고 세계에서 가장 진보된 코드로서의 탐지 플랫폼 을 통해 25가지 이상의 SIEM, EDR 및 XDR 솔루션에서 사용할 수 있는 190K+의 큐레이트된 탐지 알고리즘에 접근하세요.