사이버 보안 연구원들이 악명 높은 DarkGate 원격 액세스 트로이 목마(RAT)와 Ducktail infostealer 배후의 베트남 기반 금융 사이버 범죄 조직 사이의 연관성을 밝혀냈습니다.
WithSecure의 연구진은 2022년 Ducktail의 활동을 포착했습니다., 영국, 미국 및 인도의 조직에 대한 여러 감염 시도를 감지한 후 DarkGate에 대한 조사를 시작했습니다.
“유인 문서와 타겟팅이 최근 Ducktail 인포스틸러 캠페인과 매우 유사하다는 것이 빠르게 명백해졌으며, DarkGate 캠페인의 오픈 소스 데이터를 통해 동일한 행위자/그룹이 사용할 가능성이 매우 높은 여러 다른 인포스틸러로 전환하는 것이 가능했습니다. ”라고 보고서는 지적했다.
DarkGate와 Ducktail의 관계
다크게이트는 백도어 악성코드 정보 도용, 크립토재킹, Skype, Teams, 메시지를 사용한 악성 코드 배포 등 광범위한 악성 활동이 가능합니다.
악성코드는 감염된 장치에서 사용자 이름, 비밀번호, 신용카드 번호, 기타 민감한 정보 등 다양한 데이터를 훔칠 수 있으며, 사용자가 알지 못하거나 동의하지 않은 상태에서 감염된 장치에서 암호화폐를 채굴하는 데 사용될 수 있습니다.
감염된 장치에 랜섬웨어를 전달하고 사용자의 파일을 암호화하고 이를 해독하기 위해 몸값을 요구하는 데 사용될 수 있습니다.
WithSecure의 수석 위협 인텔리전스 분석가인 Stephen Robinson은 높은 수준에서 DarkGate 악성 코드 기능이 2018년 최초 보고 이후 변경되지 않았다고 설명합니다.
“이것은 항상 스위스 군용 칼이자 다기능 악성 코드였습니다.”라고 그는 말합니다. "즉, 그 이후로 작성자에 의해 반복적으로 업데이트 및 수정되었으며, 이는 이러한 악성 기능의 구현을 개선하고 AV/맬웨어 탐지 군비 경쟁을 따라잡기 위한 것이라고 추측할 수 있습니다."
그는 DarkGate 캠페인(및 그 배후의 행위자)은 대상이 누구인지, 사용하는 미끼 및 감염 벡터, 대상에 대한 행동에 따라 차별화될 수 있다고 지적합니다.
로빈슨은 "보고서에서 초점을 맞춘 특정 베트남 클러스터는 여러 종류의 악성 코드를 사용하는 여러 캠페인에 대해 동일한 타겟팅, 파일 이름, 심지어 미끼 파일까지 사용했습니다."라고 말했습니다.
그들은 생성된 각 파일에 자체 메타데이터를 추가하는 온라인 서비스를 사용하여 PDF 미끼 파일을 만들었습니다. 그 메타데이터는 다양한 캠페인 간의 더욱 강력한 연결을 제공했습니다.
또한 동일한 장치에 여러 개의 악성 LNK 파일을 생성하고 메타데이터를 지우지 않아 추가 활동을 클러스터링할 수 있었습니다.
DarkGate와 Ducktail의 상관관계는 루어 파일, 타겟팅 패턴, 전달 방법 등 비기술적 지표를 바탕으로 15페이지 분량의 보고서로 정리되었습니다. 신고.
“유인 파일 및 메타데이터와 같은 비기술적 지표는 매우 영향력 있는 포렌식 단서입니다. 피해자를 악성 코드 실행으로 유인하는 미끼 역할을 하는 루어 파일은 공격자의 작업 방식, 잠재적 표적, 진화하는 기술에 대한 귀중한 통찰력을 제공합니다.”라고 Critical Start의 사이버 위협 연구 수석 관리자인 Callie Guenther는 설명합니다.
마찬가지로 메타데이터("LNK 드라이브 ID"와 같은 정보 또는 Canva와 같은 서비스의 세부 정보)는 다양한 공격이나 특정 행위자 간에 지속될 수 있는 식별 가능한 흔적이나 패턴을 남길 수 있습니다.
"이러한 일관된 패턴을 분석하면 다양한 캠페인 간의 격차를 해소할 수 있으며, 이를 통해 연구원들은 악성 코드의 기술적 발자국이 다르더라도 이를 공통 범인으로 간주할 수 있습니다."라고 그녀는 말합니다.
Menlo Security의 사이버 보안 전문가 Ngoc Bui는 동일한 위협 행위자와 연결된 다양한 악성 코드군 간의 관계를 이해하는 것이 필수적이라고 말합니다.
Bui는 “보다 포괄적인 위협 프로필을 구축하고 이러한 위협 행위자의 전술과 동기를 식별하는 데 도움이 됩니다.”라고 말했습니다.
예를 들어, 연구자들이 DarkGate, Ducktail, Lobshot 및 Redline Stealer 간의 연관성을 발견하면 단일 행위자 또는 그룹이 여러 캠페인에 관여하고 있다는 결론을 내릴 수 있으며 이는 높은 수준의 정교함을 시사합니다.
Bui는 "또한 랜섬웨어 캠페인 및 노력에서 볼 수 있듯이 분석가가 둘 이상의 위협 그룹이 협력하고 있는지 판단하는 데 도움이 될 수 있습니다."라고 덧붙입니다.
MaaS는 사이버 위협 환경에 영향을 미칩니다
Bui는 서비스로서 DarkGate의 가용성이 사이버 보안 환경에 중요한 영향을 미친다고 지적합니다.
Bui는 "기술적 전문성이 부족할 수 있는 사이버 범죄자 지망생의 진입 장벽을 낮춰줍니다."라고 설명합니다. "결과적으로 더 많은 개인이나 그룹이 DarkGate와 같은 정교한 악성 코드에 액세스하고 배포할 수 있어 전반적인 위협 수준이 높아집니다."
Bui는 MaaS(Malware-as-a-Service) 제품이 사이버 범죄자에게 공격을 수행할 수 있는 편리하고 비용 효율적인 수단을 제공한다고 덧붙였습니다.
사이버 보안 분석가에게는 새로운 위협에 지속적으로 적응하고 동일한 악성 코드 서비스를 사용하는 여러 위협 행위자가 있을 가능성을 고려해야 하기 때문에 이는 어려운 일입니다.
또한 맬웨어를 사용하는 위협 행위자가 아닌 맬웨어 자체가 개발자에게 다시 클러스터링될 수 있으므로 맬웨어를 사용하는 위협 행위자를 추적하는 것이 좀 더 어려워질 수 있습니다.
국방 패러다임의 변화
Guenther는 끊임없이 진화하는 현대의 사이버 위협 환경을 더 잘 이해하기 위해서는 방어 전략의 패러다임 전환이 늦어져야 한다고 말했습니다.
그녀는 “행동 기반 탐지 시퀀스를 수용하고 AI 및 ML을 활용하면 비정상적인 네트워크 행동을 식별할 수 있어 이전 시그니처 기반 방법의 한계를 뛰어넘을 수 있습니다.”라고 그녀는 말합니다.
또한, 위협 인텔리전스를 모으고 업계 전반에 걸쳐 긴급 위협과 전술에 대한 의사소통을 촉진하면 조기 탐지 및 완화를 촉진할 수 있습니다.
Guenther는 "네트워크 구성과 침투 테스트를 포괄하는 정기 감사를 통해 취약점을 사전에 발견할 수 있습니다."라고 덧붙입니다. "게다가 최신 위협과 피싱 벡터를 인식하도록 교육을 받은 박식한 인력이 조직의 첫 번째 방어선이 되어 위험 지수를 크게 줄입니다."
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/vulnerabilities-threats/ducktail-infostealer-darkgate-rat-linked-to-same-threat-actors
- :있다
- :이다
- :아니
- $UP
- 2018
- 7
- a
- 할 수 있는
- 소개
- ACCESS
- 가로질러
- 행동
- 행위
- 방과 후 액티비티
- 활동
- 배우
- 각색하다
- 추가
- 후
- 반대
- AI
- 수
- 또한
- 항상
- an
- 분석자
- 애널리스트
- 분석
- 및
- 명백한
- 있군요
- 무기
- AS
- 열망하는
- 취하다
- At
- 공격
- 시도
- 감사
- 저자
- 유효성
- 뒤로
- 미끼
- 장벽
- BE
- 되었다
- 때문에
- 된다
- 된
- 행동
- 뒤에
- 존재
- 더 나은
- 사이에
- 다리
- 건물
- by
- 운동
- 캠페인
- CAN
- 수
- 카드
- 촉매
- 도전
- 변경
- 클러스터
- 공통의
- 의사 소통
- 이해하다
- 포괄적 인
- 결론
- 행위
- 연결
- 연결
- 동의
- 고려
- 일관된
- 현대의
- 지속적으로
- 편리한
- 상관 관계
- 비용 효율적인
- 만든
- 신용
- 크레디트 카드
- 임계
- 암호 화폐
- Cryptojacking
- 사이버
- 사이버 범죄
- 사이버 범죄자
- 사이버 보안
- 데이터
- 해독
- 방위산업
- 배달하다
- 배달
- 요구
- 배포
- 세부설명
- Detection System
- 결정
- 결정된
- 개발자
- 장치
- 디바이스
- DID
- 다른
- 차별화 된
- 어려운
- 배포하다
- 서류
- 드라이브
- 마다
- 초기의
- 노력
- 포용
- 가능
- 포함
- 항목
- 필수
- 조차
- 진화하는
- 예
- 실행
- 전문가
- 전문적 지식
- 설명
- 가족
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 파일
- 금융
- Find
- 먼저,
- 집중
- 발자국
- 럭셔리
- 법정의
- 육성
- 에
- 기능
- 기능
- 추가
- 갭
- 했다
- 그룹
- 여러 떼
- 있다
- he
- 도움
- 도움이
- 높은
- 고도로
- HTTPS
- ID
- 식별
- 식별
- if
- 충격적인
- 영향
- 이행
- 의미
- 개선
- in
- 포함
- 증가
- 인도
- 표시
- 개인
- 산업
- 정보
- 처음에는
- 통찰력
- 인텔리전스
- 으로
- 헤아릴
- 조사
- 참여
- IT
- 그
- 그 자체
- JPG
- 유지
- 지식
- 결핍
- 경치
- 휴가
- 레벨
- 레버리지
- 처럼
- 아마도
- 한계
- 라인
- 연결
- 모래밭
- 작은
- 확인
- 악성 코드
- MaaS(Malware-as-a-Service)
- 매니저
- XNUMX월..
- 방법
- 메시지
- 메타 데이터
- 방법
- 수도
- 완화
- ML
- 현대
- 수정
- 모드
- 배우기
- 또한
- 동기
- 여러
- 절대로 필요한 것
- 이름
- 네트워크
- 신제품
- 유명한
- 노트
- 유명한
- 숫자
- of
- 제공
- 오퍼링
- on
- ONE
- 온라인
- 열 수
- 오픈 소스
- 조작
- or
- 조직
- 조직
- 기타
- 아웃
- 전체
- 자신의
- 패러다임
- 암호
- 패턴
- 지불
- 침투
- 피싱
- 피벗
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 전철기
- 포즈
- 가능성
- 가능한
- 가능성
- 너무 이른
- 프로필
- 제공
- 경주
- 범위
- 몸값
- 랜섬
- 빠르게
- 쥐
- 최근
- 인식하는
- 감소
- 정규병
- 관계
- 먼
- 원격 액세스
- 자꾸
- 신고
- 통계 보고서
- 연구
- 연구원
- 결과
- 위험
- s
- 말했다
- 같은
- 라고
- 보안
- 참조
- 연장자
- 민감한
- 서비스
- 서비스
- 그녀
- 변화
- 상당한
- 비슷한
- 이후
- 단일
- Skype:
- 정교한
- 지적 교양
- 출처
- 구체적인
- 스타트
- 시작
- 스티븐
- 스트레인
- 전략들
- 강한
- 대체로
- 이러한
- 제안
- 뛰어난
- 전술
- 목표
- 대상
- 목표
- 팀
- 테크니컬
- 기법
- 테스트
- 보다
- 그
- XNUMXD덴탈의
- 영국
- 그들의
- 그들
- 그때
- Bowman의
- 그들
- 이
- 그
- 위협
- 위협 행위자
- 위협
- 을 통하여
- 넥타이
- 에
- 함께
- 추적
- 훈련 된
- 트로이의
- Uk
- 발견
- 이해
- 업데이트
- us
- 익숙한
- 사용자
- 사용
- 종류
- 업종
- 대단히
- 피해자
- 베트남 사람
- 취약점
- 였다
- we
- 잘
- 했다
- 언제
- 어느
- 누구
- 넓은
- 넓은 범위
- 닦음
- 과
- 없이
- 인력
- 일하는
- 제퍼 넷