XWorm, Remcos RAT, 중요 인프라 감염을 위해 EDR 회피

Rust 기반 인젝터 Freeze[.]rs는 EDR(Endpoint Detection and Response)을 우회하는 악성 PDF 파일이 포함된 정교한 피싱 캠페인에서 대상에 많은 악성 코드를 도입하도록 무기화되었습니다.

지난 XNUMX월 Fortinet의 FortiGuard Labs에서 처음 발견된 이 캠페인은 특수 화학 또는 산업 제품 공급업체를 포함하여 유럽과 북미 전역의 피해자를 대상으로 합니다.

결국 이 체인은 C2(command-and-control) 서버와의 통신을 설정하는 XWorm 맬웨어의 로드에서 절정에 이릅니다. XWorm은 랜섬웨어 로드부터 영구 백도어 역할까지 다양한 기능을 수행할 수 있습니다.

또한 Discord 커뮤니티 채팅 플랫폼을 통해 맬웨어 제품군을 배포하는 데 자주 사용되는 도구인 SYK Crypter의 개입도 공개되었습니다. 이 크립터는 로딩에 역할을 했습니다. 정교한 RAT(원격 액세스 트로이 목마) Remcos Windows 장치를 제어하고 모니터링하는 데 능숙합니다.

얼음 위에 EDR 퍼팅: Freeze[.]rs 공격 체인의 후드 아래

그들의 조사에서 인코딩된 알고리즘과 API 이름에 대한 팀의 분석은 EDR 보안 조치를 우회할 수 있는 페이로드를 제작하기 위해 명시적으로 설계된 Red Team 도구 "Freeze.rs"로 거슬러 올라가 이 새로운 인젝터의 기원을 추적했습니다.

"이 파일은 HTML 파일로 리디렉션되며 'search-ms' 프로토콜을 사용하여 원격 서버의 LNK 파일에 액세스합니다." 회사 블로그 게시물 설명. “LNK 파일을 클릭하면 PowerShell 스크립트가 Freeze[.]rs 및 SYK Crypter를 실행하여 추가적인 공격 조치를 취합니다.”

FortiGuard Labs의 연구원인 Cara Lin은 Freeze[.]rs 인젝터가 NT 시스템 호출을 호출하여 쉘코드를 주입하고 후크될 수 있는 커널 기반 dll에 있는 표준 호출을 건너뛴다고 설명합니다.

"그들은 EDR이 프로세스 내에서 시스템 DLL의 어셈블리를 연결하고 변경하기 전에 발생하는 약간의 지연을 사용합니다."라고 그녀는 말합니다. "프로세스가 일시 중단된 상태에서 생성되면 최소한의 DLL이 로드되고 EDR 관련 DLL이 로드되지 않아 Ntdll.dll 내의 시스템 호출이 변경되지 않은 상태로 남아 있음을 나타냅니다."

Lin은 페이로드를 전달하기 위해 "search-ms" 프로토콜과 함께 작동하는 부비트랩 PDF 파일을 통해 공격 체인이 시작된다고 설명합니다.

이 JavaScript 코드는 "search-ms" 기능을 활용하여 원격 서버에 있는 LNK 파일을 표시합니다.

"search-ms" 프로토콜은 Windows 탐색기 창을 통해 사용자를 원격 서버로 리디렉션할 수 있습니다.

그녀는 "PDF 아이콘으로 위장한 사기성 LNK 파일을 사용하여 피해자가 해당 파일이 자신의 시스템에서 생성되었으며 합법적인 것으로 믿도록 속일 수 있습니다."라고 지적합니다.

한편, "SYK 크립터는 지속성을 위해 시작 폴더에 자신을 복사하고, 인코딩하는 동안 구성을 암호화하고 실행 시 해독하며, 난독화를 위해 리소스의 압축된 페이로드도 암호화합니다."라고 그녀는 덧붙입니다.

다운로더는 첫 번째 레이어에서 인코딩과 함께 사용되며 두 번째 레이어에는 문자열 난독화 및 페이로드 암호화가 포함됩니다.

"이 다층 전략은 정적 분석의 복잡성과 도전을 강화하도록 설계되었습니다."라고 그녀는 말합니다. "마지막으로 특정 보안 공급업체를 인식하면 스스로 종료할 수 있습니다."

증가하는 피싱 위험으로부터 방어하는 방법

피싱 및 기타 메시징 기반 공격 계속해서 만연한 위협, 기업의 97%가 지난 12개월 동안 최소 한 건의 이메일 피싱 공격을 경험했으며 기업의 XNUMX/XNUMX은 이메일 기반 공격으로 인해 막대한 비용이 발생할 것으로 예상했습니다.

피싱 공격 점점 더 스마트해지고 대상이 많아지고 있으며 새로운 기술과 사용자 행동에 적응하고 모바일 악용, 브랜드 사칭 및 AI 생성 콘텐츠를 포함하도록 진화하고 있습니다.

이 연구는 위험을 완화하고, 정기적인 교육을 제공하고, 피싱 공격의 진화하는 위협에 대응하기 위해 방어를 위한 고급 보안 도구를 사용하기 위해 최신 소프트웨어를 유지하는 것이 중요하다고 지적합니다.

직원 대상 피싱 모의 교육 중요한 인프라 조직에서 더 잘 작동하는 것으로 나타남 새로운 연구에 따르면 직원의 66%가 교육을 받은 지 XNUMX년 이내에 실제 악성 이메일 공격을 한 번 이상 정확하게 보고했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 자동차 / EV, 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 차트프라임. ChartPrime으로 트레이딩 게임을 향상시키십시오. 여기에서 액세스하십시오.
• BlockOffsets. 환경 오프셋 소유권 현대화. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot/xworm-remcos-rat-evade-edrs-infect-critical-infrastructure