위협 사냥 콘텐츠: DropboxAES RAT 탐지

오늘 우리는 APT31 그룹이 사이버 스파이 캠페인에서 사용하는 DropboxAES 트로잔에 대해 이야기하고, 이 악성코드를 탐지할 수 있는 커뮤니티 Sigma 규칙의 링크를 제공하고자 합니다.

일반적으로 DropboxAES는 다른 원격 액세스 트로잔과 크게 다르지 않습니다. 이는 APT31(또는 BRONZE VINEWOOD) 무기에 비교적 새롭게 추가된 도구입니다. 이 악성코드는 명령 및 제어 통신에 Dropbox 파일 공유 서비스를 사용하기 때문에 해당 이름을 얻게 되었습니다. APT31 그룹은 이전에 HanaLoader 악성코드를 사용하여 이 트로잔을 배포했지만, 이에 대해서는 다음 블로그 게시물에서 더 다룰 것입니다. 로더는 최종 페이로드를 실행하기 위해 DLL 검색 순서 하이재킹 기법을 사용합니다. DropboxAES RAT는 침해된 호스트에서 C&C 서버로 파일을 업로드할 수 있으며, C&C 서버에서 침해된 호스트로 파일을 다운로드하고, 비인터랙티브 명령줄 기반의 역쉘을 통해 침해된 호스트에서 명령을 실행하고, 침해된 호스트에 대한 기본 시스템 정보를 C&C 서버로 업로드하며, 감염된 시스템에서 자신을 완전하게 제거할 수 있습니다.

연구원들은 이 트로잔이 법률, 컨설팅, 소프트웨어 개발 조직을 대상으로 하는 캠페인에서 발견되었다고 밝혔습니다. 이들은 공격자가 정부 또는 국방 공급망에 관심이 있다고 믿고 있습니다.  the trojan in a campaign targeted at legal, consulting, and software development organizations. They believe that attackers are interested in government or defense supply chains. 

APT31은 지적 재산권 도난에 특화된 중국 위협 행위자로, 특정 조직이 그 분야에서 경쟁력을 갖출 수 있도록 하는 데이터와 프로젝트에 초점을 맞춥니다. 

아리엘 밀라휠 은 조직의 네트워크에서 이 지속적인 악성코드의 존재를 밝혀내는 새로운 위협 사냥 규칙을 발표했습니다: https://tdm.socprime.com/tdm/info/LshSYr8uLWtf/SbsfKXMBPeJ4_8xcqH6l/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 포함하고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Microsoft Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 지속성

기법: 레지스트리 실행키/시작 폴더 (T1060)