TraderTraitor 악성코드 탐지: CISA, FBI 및 미 재무부, Lazarus APT의 사이버 공격 경고

Lazarus APT는 우리 블로그 게시물의 단골 게스트가 되었습니다. 최근 보안 보고서에 따르면, 북한의 국가 지원 APT는 빠르게 행동하여 금융 및 중요 인프라, 블록체인 기술 지향 기업, 암호화폐 부문을 위협하고 있습니다. 미국 정부 기관들은 전 세계적으로 시작된 피싱 캠페인을 통해 배포된 악성코드가 포함된 암호화폐 애플리케이션에 대한 세부 정보를 “TraderTraitor”라는 포괄적인 용어로 발표했습니다. APT 그룹은 오래된 방식을 고수하며 거짓 직업 제안으로 피해자를 유혹합니다.

TraderTraitor 악성코드 탐지

거래, 교환 및 투자 지향 회사, NFT 또는 암호화폐 플레이-투-언 게임 기업, 개인 암호화폐 지갑 및 NFT 보유자는 모두 TraderTraitor 악성코드의 배포를 중심으로 하는 현재 진행 중인 Lazarus APT 활동의 잠재적 피해자입니다. 아래의 규칙을 활용하십시오. 유능한 Threat Bounty 개발자 Osman Demir and Sittikorn Sangrattanapitak 여러분의 환경에서 의심스러운 파일명과 관련된 사용자 에이전트를 탐지하십시오:

의심스러운 TraderTraitor (ATP38) 명령 및 제어 탐지 (dafom) (프록시 경유)

블록체인 회사 대상으로 한 LAZARUS APT가 TraderTraitor 악성코드 사용했을 가능성 (파일 이벤트 경유)

탐지는 최신 MITRE ATT&CK® 프레임워크 v.10에 맞추어 18개의 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다. 추가 탐지 콘텐츠를 보려면 아래의 탐지 보기 버튼을 누르십시오.

사이버 보안 전문가들은 Threat Bounty 프로그램을 활용하여 이 분야에서 새로운 가능성을 열어갑니다. 높은 기준의 사이버 보안 프로세스를 달성하기 위한 협력에 대한 헌신을 공유하기 위해 Threat Bounty에 참여하십시오.

탐지 보기 Threat Bounty 참여하기

TraderTraitor 악성코드 분석

CISA, FBI 및 미국 재무부 – 정부 기관들은 공동으로 사이버 보안 자문 를 통해 TraderTraitor 악성코드 감염과 관련된 위협을 강조합니다. 악명 높은 북한 해커들은 블록체인 기술에 의존하는 회사, 암호화폐 투자, 거래 및 교환 회사, 개인 암호화폐 지갑 소유자들을 표적으로 하여 TraderTraitor 악성코드가 포함된 악성 암호화폐 애플리케이션을 확산시킵니다. 이러한 트로이화된 거래 또는 가격 예측 애플리케이션은 주요 운영 체제인 Windows 및 macOS에서 작동하도록 개발되었습니다.

TraderTraitor 악성코드는 APT의 다채널 Operation Dream Job의 일부로, Lazarus의 검증된 작업 방식인 스피어 피싱 사기를 통해 확산됩니다. TraderTraitor 운영자들은 메시징 및 이메일 플랫폼을 포함한 커뮤니케이션 채널을 통해 대량의 스피어 피싱 메시지를 사용하여 목표를 타격합니다.

대상이 암호화폐 작업을 위한 이러한 가짜 도구를 다운로드하고 설치하도록 속임을 당하면, 시스템은 시스템 데이터를 수집하고 임의 명령을 실행하며 추가 페이로드를 다운로드하여 사기 거래 및 민감한 암호화폐 데이터 절도를 가능하게 하는 맞춤형 원격 액세스 트로이목마(RAT)에 감염됩니다.

조직의 사이버 보안 전략에 대한 스마트하고 적시의 결정은 대규모 APT 공격을 견디기 위한 검증된 접근 방식입니다. 더 많은 Sigma 및 YARA 탐지 콘텐츠를 보려면 위협 탐지 마켓플레이스 를 통해 탐색하여 어느 심각한 위험도 놓치지 않도록 하십시오.