위협 사냥 콘텐츠: 타우러스 스틸러 탐지

Taurus 정보 탈취 멀웨어는 해커 포럼에서 이를 홍보하는 Predator The Thief 팀에 의해 만들어진 비교적 새로운 도구입니다. 이 인포스틸러는 브라우저, 암호화폐 지갑, FTP, 이메일 클라이언트 및 다양한 앱에서 민감한 데이터를 탈취할 수 있습니다. 이 멀웨어는 매우 회피적이며 샌드박스 탐지를 피하기 위한 기술들을 포함하고 있습니다. 공격자들은 지리적 위치에 따라 감염 수를 모니터할 수 있는 대시보드를 개발하였습니다. 이 대시보드는 공격자가 Taurus의 구성을 사용자 정의할 수 있는 기능도 제공합니다.

비용이 저렴하고 효과적인 도구는 사이버 범죄자들에게 주목받지 않을 수 없으며, 6월 초부터 연구자들이 추적해온 Taurus Infostealer를 배포하는 악성 캠페인을 추적하고 있습니다. 공격자들은 첨부된 문서에 악성 매크로 코드를 포함시켜 패이로드를 다운로드하기 위한 스팸 이메일을 보냅니다. 사용자가 매크로를 활성화하면, AutoOpen() 서브루틴이 호출되어 악성 VBA 매크로가 실행되고, BitsTransfer를 통해 세 개의 다른 파일을 Github 사이트에서 다운로드하여 미리 정의된 이름으로 Temp 폴더에 저장하게 됩니다. 

Osman Demir의 독점적인 스레드 헌팅 Sigma 규칙은 Taurus 멀웨어를 설치 과정 중에 탐지할 수 있도록 보안 솔루션을 가능하게 합니다: enables security solutions to spot Taurus malware during its installation process: https://tdm.socprime.com/tdm/info/SCpXVANx2z2W/1HoNBXMBSh4W_EKGWceZ/?p=1

이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, ELK Stack, RSA NetWitness, Sumo Logic, Graylog, Humio, LogPoint

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 방어 회피, 실행

기술: PowerShell (T1086), 스크립팅 (T1064)