위협 사냥 규칙: PurpleWave 정보 탈취 소프트웨어

또 다른 정보탈취기 가 백도어 기능과 함께 7월 말에 발견되었습니다. 악성코드 작성자는 이를 러시아 사이버 범죄 포럼에서 광고하고 다양한 유틸리티 수정본을 저렴한 가격에 판매하고 있습니다. 새로운 정보탈취기는 C++로 작성되었으며 작성자들에 의해 퍼플웨이브(PurpleWave)라고 불립니다. 

악성코드는 공격받은 시스템에서 해커의 선택에 따라 여러 악성 작업을 수행할 수 있습니다. 주된 정보탈취기의 기능은 암호, 쿠키, 카드, 자동완성 데이터, 브라우저 기록을 탈취하는 것입니다. 퍼플웨이브는 또한 지정된 경로에서 파일 수집, 스크린샷 촬영, 시스템 정보 수집 및 유출, 텔레그램 세션 파일, 스팀 어플리케이션 데이터 및 가상화폐 지갑 데이터를 탈취할 수 있습니다. 백도어 기능으로는 추가 모듈과 악성코드 다운로드 및 실행이 포함됩니다. 현재 이 악성코드가 어떤 모듈을 가지고 있는지는 알 수 없지만 개발 초기 단계에 있으며, 작성자들이 새로운 기능과 은밀한 작전을 위한 추가 기능을 추가할 가능성이 큽니다.

커뮤니티 위협 사냥 규칙은 오스만 데미르 에 의해 개발되어 퍼플웨이브 정보탈취기를 피해가 발생하기 전에 초기 단계에서 감지하는 데 도움을 줍니다: https://tdm.socprime.com/tdm/info/84bcA1lMKHRR/mUcnC3QBPeJ4_8xc-nqY/?p=1

이 규칙은 다음 플랫폼 번역을 제공합니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio

EDR: Carbon Black, Elastic Endpoint

MITRE ATT&CK: 

전술: 지휘통제, 자격 증명 접근

기술: 웹 브라우저에서 자격 증명 탈취(T1503), 표준 애플리케이션 계층 프로토콜(T1071), 웹 세션 쿠키 탈취(T1539)

SOC Prime TDM을 시도할 준비가 되셨나요? 무료로 가입하세요. 또는 위협 현상금 프로그램에 참여하여 자신만의 콘텐츠를 제작하고 TDM 커뮤니티와 공유하세요.