솔라마커의 다계층 인프라의 심층적인 면 살펴보기
정보를 훔치는 것으로 알려진 멀웨어인 SolarMarker는 2021년부터 활동 중인 진화하는 다계층 인프라를 활용합니다. 옐로우 코카투 및 주피터 인포스틸러라고도 알려진 이 멀웨어는 교육, 의료, 중소기업 등의 분야를 표적으로 삼습니다. 탐지를 피하기 위해 Authenticode 인증서 및 대용량 zip 파일과 같은 고급 회피 기술을 사용합니다.
SolarMarker의 다계층 인프라와 그 영향력
옐로우 코카투, 폴라저트, 주피터 인포스틸러라고도 불리는 SolarMarker 멀웨어는 2020년 이후 꾸준히 진화하고 있습니다. 정교하고 탄력적인 SolarMarker의 배후에 있는 위협 행위자는 침해 후 인프라를 신속하게 재구축하고 법 집행 기관의 탐지나 중단을 피하기 위한 전술을 사용하는 다계층 인프라를 구축했습니다.
SolarMarker는 악성 페이로드에 합법적인 것처럼 보이게 하는 Authenticode 인증서와 같은 고급 회피 기술을 사용하고, 대용량 zip 파일을 사용하여 바이러스 백신 소프트웨어를 우회합니다.
솔라마커 운영의 핵심은 활성 운영을 위한 기본 클러스터와 새로운 전략을 테스트하거나 특정 지역 또는 산업을 타겟팅하는 데 사용되는 보조 클러스터 등 최소 두 개의 클러스터로 구성된 계층화된 인프라입니다. 이렇게 분리하면 멀웨어가 대응책에 적응하고 대응하는 능력이 향상되어 근절이 특히 어려워집니다.
레코디드 퓨처 네트워크 인텔리전스는 교육, 의료, 정부, 서비스업, 중소기업 등 여러 분야에서 상당한 수의 피해자를 밝혀냈습니다. 이 멀웨어는 개인과 조직 모두를 표적으로 삼아 범죄 포럼에서 판매될 수 있는 방대한 양의 데이터를 훔쳐 추가적인 악용과 공격으로 이어집니다.
단기적으로는 애플리케이션 허용 목록을 적용하여 멀웨어가 포함된 합법적으로 보이는 파일을 다운로드하지 못하도록 하는 것이 SolarMarker에 대한 방어책이 될 수 있습니다. 허용 목록을 사용할 수 없는 경우, 기업은 직원들이 예상치 못한 파일 다운로드나 멀버타이징을 나타낼 수 있는 리디렉션 등 잠재적인 침해 징후를 인식할 수 있도록 철저한 보안 교육을 실시해야 합니다.
보고서의 부록에 자세히 설명되어 있듯이, 현재 및 과거 감염을 탐지하려면 YARA 및 Snort 규칙을 사용하는 것이 중요합니다. 멀웨어의 진화하는 특성을 고려할 때 네트워크 아티팩트 분석과 같은 추가 탐지 방법과 함께 이러한 규칙을 정기적으로 업데이트하는 것이 필수적입니다.
장기적으로 사이버 범죄 생태계를 모니터링하는 것은 새로운 위협을 예측하는 데 중요합니다. 조직은 보안 정책을 개선하고 방어 메커니즘을 강화하여 솔라마커와 같은 위협 행위자보다 앞서 나가야 합니다. 여기에는 사이버 범죄 인프라를 겨냥한 더 나은 규제 조치와 이러한 위협을 원천적으로 해결하기 위한 법 집행 노력이 포함됩니다.
전체 분석 내용을 읽으려면 여기를 클릭하여 PDF 보고서를 다운로드하세요.
관련