위협 탐지 콘텐츠: TAINTEDSCRIBE 트로이 목마

지난주, CISA, FBI, 그리고 DoD는 악성코드 분석 보고서를 발표했습니다 최근 발견된 악명 높은 라자루스 그룹의 도구에 대한 자료로, 이 도구들은 북한 정부의 이익을 위한 작전을 수행합니다. COPPERHEDGE, TAINTEDSCRIBE, PEBBLEDASH라는 악성코드 변종은 정찰 및 대상 시스템의 기밀 정보를 삭제하는 데 사용될 수 있습니다. TAINTEDSCRIBE 악성코드는 Microsoft의 나레이터로 위장한 백도어 임플란트로 사용됩니다. 라자루스 그룹은 C&C 서버에서 악성 모듈을 다운로드하고, 파일을 다운로드 및 실행하며, Windows 명령줄 인터프리터를 활성화하고, 프로세스를 생성 및 종료하는 데 사용합니다.

라자루스 그룹(일명 히든 코브라)은 가장 위험한 위협 행위자 중 하나로, 금전적 동기를 가진 공격과 사이버 스파이 캠페인을 모두 수행합니다. 공격자들은 약 20억 달러를 훔치는 데 성공했습니다. 여러 경우에 해당 그룹은 TrickBot 악성코드(Anchor Project) 를 사용하여 관심 있는 조직에 초기에 침투했습니다. 

새로운 위협 사냥 규칙은 아리엘 밀라웰 에 의해 라자루스 그룹의 TAINTEDSCRIBE 트로잔을 사용하여 피해자 네트워크에서 지속성을 유지하고 네트워크를 추가로 악용하는 활동을 밝힙니다: https://tdm.socprime.com/tdm/info/1Lkj80bX8dHN/-eZsLHIBv8lhbg_ix9AB/?p=1

이 규칙은 다음 플랫폼들에 대한 번역이 포함되어 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, Logpoint, Humio, RSA NetWitness

EDR: Windows Defender ATP, Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 지속성, 권한 상승

기술: 시작 항목 (T1165)

라자루스 그룹이 사용한 전술에 대해 더 많은 정보를 얻고, 탐지할 수 있는 더 많은 콘텐츠를 MITRE ATT&CK 섹션에서 찾을 수 있습니다: https://tdm.socprime.com/att-ck/