위협 사냥 콘텐츠: 에모텟이 다시 돌아오다

[post-views]
7월 24, 2020 · 2 분 읽기
위협 사냥 콘텐츠: 에모텟이 다시 돌아오다

이보다 더 비극적인 이야기는 없으니, 다시 한번 Emotet가 돌아왔습니다. 이번에는 약 7개월 동안 전면적인 캠페인은 없었지만, 감염의 고립된 사례가 기록되었고 연구자들은 문서를 발견했습니다 이 악성코드를 배포하는. 공격은 지난 금요일에 재개되어, 봇넷은 몇 시간 만에 약 25만 개의 이메일을 발송했으며, 주로 미국과 영국의 수신자를 대상으로 했습니다. 그 이후로, 봇넷은 연구자들에게 새로운 샘플을 지속적으로 공급하여 any.run에서 선도적인 위치를 차지하고 있습니다. 

최근 캠페인에서 봇넷은 IcedID 트로이 목마를 배포했지만, 공격자들은 어떤 페이로드라도 빠르게 재구성할 수 있습니다. 작년에 Emotet가 여름 내내 휴가를 갔고 오랜만에 ‘정신을 차렸습니다’. 이번에는 모든 것이 더 빨리 진행되었고, 우리는 그의 다음 긴 휴가를 기대하고 있습니다. 그동안 Threat Bounty Program 회원들이 이 위협을 탐지하기 위한 새로운 커뮤니티 콘텐츠를 제공합니다: 

Emotet Through Word Document (Sysmon Behavior) by Lee Archinalhttps://tdm.socprime.com/tdm/info/2tYN2TlMxm0a/zMQad3MBQAH5UgbB7xy7/?p=1

공공 사이버 적 Emotet가 돌아왔습니다 by Osman Demirhttps://tdm.socprime.com/tdm/info/mX8YnI2czLHA/pMYLe3MBQAH5UgbBgol9/?p=1

 

규칙은 다음 플랫폼에 번역되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio

EDR: Carbon Black, Elastic Endpoint

 

MITRE ATT&CK: 

전술: 초기 접근, 실행, 방어 회피, 명령 및 제어

기법: 스피어피싱 첨부 파일 (T1193), 명령줄 인터페이스 (T1059), 호스트 지표 제거 (T1070), 표준 애플리케이션 계층 프로토콜 (T1071)



SOC Prime TDM을 체험해보시겠습니까? 무료로 가입하세요. 또는 Threat Bounty Program에 참여하세요 자신의 콘텐츠를 제작하여 TDM 커뮤니티와 공유하세요.

이 기사가 도움이 되었나요?

동료들과 좋아요를 누르고 공유하세요.
SOC Prime의 Detection as Code 플랫폼에 가입하세요 귀하의 비즈니스와 가장 관련 있는 위협에 대한 가시성을 향상시키세요. 시작하고 즉각적인 가치를 창출하기 위해 지금 SOC Prime 전문가와의 미팅을 예약하세요.

관련 게시물