RustyBuer 악성 코드

보안 연구원이 발견 한 RustyBuer는 Buer 악성 코드 로더의 새로운 버전입니다. 최초의 위협은 지하 해커 포럼에서 구매할 수있게 된 2019 년에 처음 발견되었습니다. Buer 는 표적 시스템에 발판을 마련하는 초기 페이로드 역할을하고 다음 단계의 악성 코드 위협을 전달하여 공격을 확대합니다. 최신 버전은 Rust 프로그래밍 언어로 작성되었다는 주요 차별화 요소와 함께 동일한 기능을 유지합니다.

새롭고 덜 확립 된 프로그래밍 언어를 사용하여 기존 맬웨어 위협을 재현하는 것은 사이버 범죄자들 사이에서 비교적 최근의 추세입니다. 이렇게하면 위협의 원래 버전을 쉽게 탐지 할 수있는 시그니처 기반 맬웨어 방지 보안 솔루션을 피할 수 있습니다. 동시에 새로운 맬웨어를 구축해야하는 대안에 비해 위협을 해제하는 데 필요한 시간을 대폭 줄여줍니다.

RustyBuer의 공격 체인

RustyBuer 악성 코드와 관련된 일련의 공격에서 위협 행위자들은 국제 물류 회사 인 DHL에서 보낸 것처럼 가장하는 루어 이메일을 유포했습니다. 가짜 메일에 합법성을 더하기 위해 해커는 여러 사이버 보안 제공 업체의 로고를 포함했습니다. 가짜 이메일의 텍스트는 표적이 된 피해자에게 첨부 파일 (일반적으로 무기화 된 Word 또는 Excel 문서)을 열도록 지시합니다. 손상된 파일에는 시스템에 RustyBuer 위협을 전달하는 매크로가 포함되어 있습니다. 엔드 포인트 보안 솔루션의 탐지를 피하기 위해 매크로는 애플리케이션 우회를 활용합니다.

피해자의 장치에 들어가면 RustyBuer는 환경에서 가상화 징후를 확인합니다. 이후 사용자가 특정 CIS (Commonwealth of Independent States) 국가 출신인지 확인하기 위해 지리적 위치 확인을 수행하고 일치하는 항목이 발견되면 악성 코드가 실행을 종료합니다. RustyBuer는 또한 모든 시스템 부팅에서 시작되는 LNK 파일을 통해 지속성 메커니즘을 설정합니다.

다음 단계 페이로드

RustyBuer를 배치 한 최근의 공격 캠페인 분석에 따르면 위협은 대부분 이전에 Buer에서 관찰 된 행동과 일치합니다. 위협 행위자들은 침해 된 시스템에 Cobalt Strike Beacon을 떨어 뜨 렸습니다. Cobalt Strike는 합법적 인 침투 테스트 도구로 위협적인 작업에이를 통합하는 위협 행위자가 자주 악용합니다.

그러나 어떤 경우에는 RustyBuer가 시스템에 설치된 후 위협 행위자가 행위자를 에스컬레이션하지 않았고 2 단계 페이로드가 감지되지 않았습니다. 연구원들은 그가 다른 사이버 범죄 그룹에 시스템에 대한 감염 후 액세스 권한을 판매하는 서비스로서의 액세스 체계를 운영하려는 위협 행위자의 신호라고 생각합니다.

또한 CIS 지역의 제한 국가 목록이 존재하면 RustyBuer 운영자가 잠재적으로 러시아와 관계를 맺을 수 있음을 나타냅니다.