TA551 해커들, 스팸 메일 캠페인에 아이스드ID 트로잔 배포
목차:
2020년 7월부터 보안 연구원들은 TA551(일명 Shathak) 악성 스팸 루틴에 구현된 주목할 만한 변화를 관찰했습니다. TA551 캠페인의 배후 위협 행위자들은 Ursnif와 Valak 배포에서 IcedID 뱅킹 트로이 목마 감염으로 전환했습니다.
TA551 개요
TA551은 2019년 2월에 등장한 장기적인 악성 스팸 캠페인입니다. 처음에는 영어권 피해자들에게 Ursnif(Gozi/Gozi-ISFB) 뱅킹 트로이 목마를 전달하는 데 주력했습니다. 그러나 2019년 말까지 연구자들은 Valak과 IcedID가 정기적으로 2단계 악성 코드로 검색됨을 관찰했습니다. 이를 통해 독일어, 이탈리아어, 일본어 피해자들도 포함하여 2019년 전반에 걸쳐 대상이 확대되었습니다. 2020년에는 TA551이 Ursnif를 포기하고 Valak 로더에 집중했습니다. TA551은 2020년 7월까지 Valak을 독점적으로 홍보하고 ZLoader(Terdot, DELoader) 악성 코드를 가끔씩 배포했습니다. 그리고 2020년 2분기에는 TA551이 IcedID 뱅킹 트로이 목마 전파로 전환했습니다.
TA551 악성 루틴은 유혹으로서 사용되는 위조된 이메일 체인에 의존합니다. 이러한 이메일 체인은 이전에 침해된 Windows 호스트에서 가져와 원래의 수신자에게 전송됩니다. 악성 스팸 이메일은 피해자가 비밀번호로 보호된 ZIP 아카이브를 추출하도록 묻는 설득력 있는 텍스트를 표시합니다. 만약 피해자가 속으면, 아카이브는 매크로가 포함된 Word 파일을 팝업합니다. 매크로가 활성화되면, 매크로는 DLL 설치 프로그램을 감염된 PC에 드롭하며, 이는 결국 최종 악성 페이로드를 다운로드합니다.
Valak에서 IcedID로 전환
2020년 7월 중순부터, 보안 연구원들은 TA551 악성 스팸 캠페인을 통해 독점적으로 IcedID 뱅킹 트로이 목마를 배포하는 것을 확인했습니다. 첫 번째 감염 물결은 영어 사용자만을 대상으로 했습니다. 그러다가 2020년 10월 27일, TA551 운영자들은 일본어로 된 Word 문서 템플릿으로 전환해 3주 이상 지속적으로 일본 사용자를 겨냥했습니다. 2020년 11월에는 악성 스팸이 다시 영어권 사용자 대상으로 초점을 맞췄습니다. 특히, IcedID 악성 코드는 Ursnif와 Valak에 의해 후속 페이로드로 자주 전달되었습니다. 단지 2020년 2분기에, TA551 해커들은 IcedID를 1단계 페이로드로 집중하기로 결정했습니다.
IcedID 악성 코드는 무엇인가요?
IcedID(또는 BokBot라고도 함)는 모듈식 뱅킹 트로이 목마입니다 설계되었습니다 대상 머신으로부터 뱅킹 데이터와 자격 증명을 훔치기 위해. 2017년에 처음 발견된 IcedID는 주로 집중했습니다 미국의 은행 제공자와 통신업체를 대상으로. 초기에는 Emotet에 의해 전달되었으나, 새 배포 패턴이 시간이 흐르며 획득되었습니다. 주된 감염 방법은 매크로가 포함된 Word 파일을 포함한 악성 스팸으로 남아 있습니다.
IcedID 정보 스틸러는 복잡한 회피 기능과 함께 광범위한 악성 기능을 갖추고 있습니다. 트로이 목마는 스테가노그래피 기법을 사용해 구성 파일을 숨기며, 동시에 anti-VM 및 anti-debugging 기능을 적용합니다. 감염과 지속성을 확보한 후, 악성 코드는 감염된 네트워크를 통해 확산되며, PC의 모든 활동을 모니터링하고 man-in-the-browser 공격을 수행합니다. 이러한 공격은 웹 주입, 프록시 설정, 리디렉션을 포함한 세 단계로 이루어집니다. 이 접근 방식은 IcedID가 사회적 공학으로 피해자를 속이고, 그들의 뱅킹 정보를 훔치며, 다단계 인증을 우회해 은행 계좌에 접근할 수 있도록 합니다.
TA551 탐지
TA551 악성 스팸 캠페인에 대한 사전 방어 능력을 강화하려면, Joseph Kamau 가 Threat Detection Marketplace에 발표한 무료 Sigma 룰을 다운로드하십시오:
https://tdm.socprime.com/tdm/info/Ae4eIgnZWl77/zpiHFXcBR-lx4sDxDOul/
이 룰은 다음 플랫폼으로 번역되었습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
전술: 실행, 방어 회피
기술: 서명된 바이너리 프록시 실행 (T1218)
Threat Detection Marketplace에 무료 구독 를 통해 보다 많은 큐레이션된 SOC 콘텐츠를 접할 수 있습니다 대부분의 SIEM, EDR, NTDR, 및 SOAR 플랫폼과 호환 가능합니다. 위협 탐지 활동에 기여하고 싶은가요? 우리의 Threat Bounty 프로그램에 참여하여 자신만의 Sigma 룰을 SOC Prime 커뮤니티와 공유하세요.
