SYK 크립터 탐지: Discord를 통해 여러 RAT을 퍼트리는 NET. 멀웨어

디스코드가 온라인 사용자 커뮤니티 사이에서 극도의 인기를 끌면서 2021년 기준으로 1억5000만 명이 사용하고 있는 가운데, 해커들은 이 채팅, VoIP 및 디지털 배포 플랫폼에 눈길을 돌리고 있습니다. 공격 가능 면적은 광범위하며 유망하여, 위협 행위자가 디스코드를 악용하여 악성 코드를 배포하고 다른 악의적인 활동을 할 수 있습니다.

최근, 보안 연구자들은 디스코드 공격 체인에서 유행하는 새로운 악성코드를 밝혀냈습니다. 특히 해커들은 새로운 SYK 크립터를 이용해 디스코드 CND(콘텐츠 배포 네트워크)를 악용하여 원격 액세스 트로이 목마의 공격을 수행합니다.

SYK 크립터 탐지

적극적인 Threat Bounty 저자가 제공한 전용 Sigma 규칙을 활용하여 높은 은폐성을 가진 SYK 크립터 악성코드와 관련된 악성 활동을 탐지합니다 Osman Demir. 번역된 Sigma 규칙에 접근합니다 23개의 SIEM, EDR & XDR 형식으로 아래 링크를 통해:

Powershell로 실행되는 수상한 Syk 크립터 (cmdline을 통해)

새로운 위협에 대한 탐지를 다루고 MITRE ATT&CK 참조, CTI 링크 및 기타 귀중한 메타데이터로 enrihed된 전체 컨텍스트를 얻기 위해 SOC Prime의 Detection as Code 플랫폼이 제공하는 Threat Detection Marketplace 리포지토리를 탐색하는 것이 환영합니다.

위협 헌팅 및 탐지 엔지니어링 분야에서 이미 확립된 전문가입니까? 고급 사이버 보안 기술을 활용하여 Threat Bounty Program에 참여하십시오. Sigma, Yara 또는 Snort 규칙을 제출하고, 플랫폼에 게시하고, 공동 사이버 방어에 기여하면서 반복적인 지급을 받으세요.

탐지 보기 Threat Bounty 가입

SYK 크립터 공격 체인

에 따르면 Morphisec의 연구 , SYK 크립터 운용자는 악성코드를 배포하기 위해 인기 있는 디스코드 공격 체인을 이용할 기회를 놓치지 않았습니다. 2022년 5월, 보안 전문가들은 디스코드 CND의 도움으로 실행된 여러 SYK 크립터 감염을 보고했습니다.

특히, 공격은 악성 파일이 첨부된 피싱 이메일로 시작됩니다. 파일은 합법적인 구매 주문처럼 위장하지만, 열리면 감염 체인이 시작됩니다. 첫 번째 단계에서는 DNetLoader가 피해자의 컴퓨터에 설치되어 하드코딩된 디스코드 CND 엔드포인트에 연결하고 암호화된 파일을 다운로드합니다. 이후, SYK 크립터가 작동하여 최종 페이로드를 PE 리소스로 저장하고 해독합니다. 추가 조사를 통해 SYK가 원격 액세스 트로이 목마 및 스틸러를 비롯한 여러 악성 코드를 배포하는 것을 알 수 있습니다. 포함된 WarzoneRAT, AsyncRAT, Quasar RAT, NanoCore RAT, RedLine Stealer등이 있습니다.

SYK 크립터 분석

Morphisec 전문가에 따르면, SYK 크립터는 사이버 방어를 뛰어넘고 서명 및 행위 기반 보안 관제를 우회하는 다양한 은폐 기술을 활용하는 혁신적인 위협입니다. 특히, SYK는 AV 솔루션을 감지 및 극복하고, 디버깅 환경을 확인하고, 시작 폴더를 통해 지속성을 확보하며, 프로세스 할로잉 기술을 사용하여 페이로드를 실행할 수 있습니다.

최신 위협에 대한 방어를 조정하는 것에 대한 끝없는 노력은 도전적입니다. SOC Prime의 Detection as Code 플랫폼 은 공동 사이버 방어에 의해 지원되어 위협 탐지 능력 및 위협 사냥 속도를 크게 향상시킬 수 있으며, 적을 능가하고 이길 수 있습니다.