위협 헌팅 콘텐츠: 데빌 쉐도우 봇넷

요즘, 봉쇄 기간 동안 많은 조직이 기업 차원에서 회의 회의를 개최하기 위해 이 애플리케이션에서 발견된 보안 문제에도 불구하고 Zoom을 계속 사용하고 있습니다. 공격자들은 수개월 동안 이 애플리케이션의 인기가 증가하는 것을 악용하고 있으며, 조직을 공격으로부터 부분적으로 보호할 수 있습니다 Zoom 서비스를 강화하여 보호할 수 있습니다. 하지만 이것만으로는 문제를 완전히 해결할 수 없습니다. 사이버 범죄자들이 사용자에게 Zoom 설치 프로그램 대신 맬웨어 링크를 보낼 수 있으며, 이제 그들은 맬웨어를 가짜 설치 프로그램에 숨기고 이를 통해 합법적인 Zoom 설치 프로그램을 실행하여 의심을 피하려고 합니다. 이러한 설치 프로그램은 더 크고 합법적인 파일보다 느리게 실행되지만 일반 사용자는 아마도 이를 주목하지 않을 것입니다. 이러한 방식으로 공격자들은 이제 Devil Shadow Botnet을 배포하고 있습니다.

이 봇넷을 사용하여 사이버 범죄자들은 웹캠을 통해 피해자를 감시하고 스크린샷을 찍으며 키로거 모듈을 사용하여 다음 공격 단계에 필요한 자격 증명 및 기타 민감한 정보를 수집할 수 있습니다.

SOC Prime의 Threat Bounty Program 참가자들은 이 위협에 빠르게 대응하여 Devil Shadow Botnet의 흔적을 발견하는 커뮤니티 Sigma 규칙 두 가지를 게시했습니다. 이 규칙들은 매우 다르며, 다양한 MITRE ATT&CK 기술들을 포함합니다.

Fake ZOOM Installer.exe (Devil Shadow Botnet) by Emir Erdogan: https://tdm.socprime.com/tdm/info/UPInonyraJtb/kubvWnIBv8lhbg_iDO5q/

Devil Shadow Botnet Hidden in Fake Zoom Installers by Osman Demir: https://tdm.socprime.com/tdm/info/q4ibRAYze5tg/aubhWnIBv8lhbg_icO7O/?p=1

규칙에는 다음 플랫폼에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, 

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 실행, 권한 상승, 자격 증명 접근, 지속성, 방어 회피, 명령 및 제어

기술: 사용자 실행 (T1204), 훅킹 (T1179), 커널 모듈 및 확장 (T1215), 프로세스 인젝션 (T1055), 소프트웨어 패킹 (T1045), 흔치 않은 포트 사용 (T1065)

Zoom 관련 공격을 탐지하기 위한 추가 규칙: https://tdm.socprime.com/?searchValue=zoom