ZuoRAT 악성코드 탐지

ZuoRAT이라는 이름의 은밀하게 레이더 아래에서 활동하는 원격 액세스 트로이 목마(RAT)가 남성과 가정용 소규모 사무실(SOHO) 라우터라는 비교적 쉬운 대상을 손상시키고 있습니다. 이 악성 소프트웨어는 2020년부터 사용되고 있으며, 주로 기업 네트워크에 접속할 수 있는 미국과 서유럽에 기반을 둔 원격 근무자를 주로 대상으로 하고 있습니다. 연구자들은 관찰된 전술, 기술 및 절차(TTP)가 이 캠페인을 진행하는 정교한 위협 행위자를 가리키며, 중국의 정부로부터 보조금을 받았을 가능성이 높다고 경고합니다.

ZuoRAT 악성코드 탐지

시스템 내에서 ZuoRAT 악성코드를 탐지하려면 최상위 SOC 프라임 위협 바운티 개발자가 제공한 다음 Sigma 규칙을 사용하십시오. Kaan Yeniyol and Osman Demir:

ZuoRAT 하이잭에 의한 초기 접근 가능성(프록시를 통해)

수상한 ZuoRAT 악성코드가 SOHO 라우터를 하이잭 함(파일 이벤트를 통해)

이 탐지 규칙은 MITRE ATT&CK® 프레임워크 v.10과 일치하며, Exploit Public-Facing Application(T1190) 및 File and Directory Discovery(T1083) 기술에 대표되는 초기 접근 및 탐지 전술을 다룹니다.

SOC Prime의 Threat Bounty Program 은/는 경험이 풍부한 위협 헌터와 신진 위협 헌터 모두에게 Sigma 기반 탐지 콘텐츠를 공유하고 전문가 코칭과 안정적인 수익을 얻을 수 있도록 해줍니다.

ZuoRAT 공격을 식별하는 Sigma 규칙을 확인하세요 – Detect & Hunt 버튼은 25개 이상의 SIEM, EDR 및 XDR 솔루션을 위한 전용 규칙 라이브러리로 안내할 것입니다. 그 탐색 위협 컨텍스트 은 SOC 전문가로 등록된 사용자가 Detection as Code 플랫폼에서 계정을 만들지 않고 모든 SOC 전문가에 대한 액세스 권한을 해제합니다.

Detect & Hunt 탐색 위협 컨텍스트

ZuoRAT 캠페인 분석

COVID-19 팬데믹은 보안 실무자들에게 많은 문제를 제기했습니다. 원격 근무로 인해 발생한 보안 위험의 풍부한 풀(pool)은 지난 몇 년간 꾸준히 증가해 왔으며 앞으로도 계속될 것입니다. 원격 근무 환경을 활용한 최근에 공개된 작전 중 하나는 다중 단계 원격 액세스 트로이 목마 ZuoRAT을 사용한 공격으로, 이는 다음과 같은 벤더의 라우터에 Mirai 봇넷을 수정한 버전입니다. Cisco, ASUS, DrayTek 및 NETGEAR와 같은 벤더의 라우터에서 실행됩니다.

안전 분석가들이 Lumen’s Black Lotus Labs 는 손상된 SOHO 라우터를 이용해 감염된 장치에서 전송된 데이터를 가로채고 네트워크 전체의 통신을 인수하여 LAN의 다른 장치에 접근할 수 있게 하는 캠페인을 연구한 보고서를 발표했습니다. 적들은 손상된 네트워크 내에서 가로로 이동하여 Cobalt Strike 비콘, CBeacon 및 GoBeacon과 같은 추가적인 악성 페이로드를 배포하여 목표 장치나 모든 프로세스에서 명령을 실행할 수 있는 능력을 얻습니다.

연구 데이터에 의하면 이러한 도전적인 형태의 악성 소프트웨어에 의한 보안 위반이 팬데믹 관련 제한이 시작되고 원격 인력이 급증한 2020년 초부터 시작됐습니다. 발견되지 않기 위해 악성코드 운영자는 라우터 간 통신과 손상된 프록시의 순환을 활용했습니다.

세계 각지의 원격 근무자를 대상으로 한 사이버 공격의 수와 심각성이 증가함에 따라 매일 더 많은 비즈니스가 위험에 처하게 됩니다. 회사에 최고의 보안 방식을 준비하려면 SOC Prime 플랫폼에 등록하세요..