스패머는 코로나 바이러스 발생을 사용하여 이메일을 통해 맬웨어를 전파하고 있습니다. "실제 바이러스를 방어하는 방법에 대한 정보 제공", Bleeping Computer에 따르면 이 캠페인은 Emotet 덕분입니다.
사이버 범죄자들은 지침을 제공하는 것으로 추정되는 맬웨어가 가득한 이메일을 보내 치명적인 코로나바이러스를 둘러싼 세계적인 공포를 이용하고 있습니다.
현재 아시아, 유럽 및 북미 국가를 돌고 있는 코로나바이러스 변종은 중국 우한에서 처음 확인되었으며 2019년 신종 코로나바이러스(2019-nCoV)라고 합니다.
최신 위협을 모니터링하는 보안 회사에서 여러 이메일 캠페인을 탐지했으며, 모두 코로나바이러스를 후크로 사용하여 피해자가 감염된 메시지를 열도록 시도합니다.
해당 이메일은 보건소의 공식 공지로 위장하고 코로나 바이러스 감염 예방 조치에 대한 자세한 내용을 제공할 것을 약속하는 첨부 파일과 함께 제공됩니다.
위협 유형 – 스팸, 맬웨어, 봇넷
살펴보기
이메일의 제목과 문서 파일 이름은 비슷하지만 동일하지는 않습니다. 그들은 현재 날짜의 다른 표현과 "에 대한 일본어 단어를 구성했습니다.공고”, 긴급을 제안하기 위해.
Kaspersky 기술은 새로 발견된 코로나바이러스와 관련된 문서로 위장한 악성 파일을 발견했습니다.
발견된 악성 파일은 코로나 바이러스에 대한 pdf, mp4, Docx 파일로 위장되어 있었습니다. 파일 이름은 바이러스로부터 자신을 보호하는 방법, 위협에 대한 업데이트 및 바이러스 탐지 절차에 대한 비디오 지침이 포함되어 있음을 의미하지만 실제로는 그렇지 않습니다.
실제로 이러한 파일에는 컴퓨터나 컴퓨터 네트워크의 작동을 방해할 뿐만 아니라 데이터를 파괴, 차단, 수정 또는 복사할 수 있는 트로이 목마에서 웜에 이르기까지 다양한 위협 요소가 포함되어 있습니다.
카스퍼스키 악성코드 분석가인 안톤 이바노프(Anton Ivanov)는 “주요 뉴스 기사로 널리 논의되고 있는 코로나바이러스는 이미 사이버 범죄자들의 미끼로 사용됐다”고 말했다.
시나리오 1: 이메일 캠페인에 대한 사전 예방적 방어 메커니즘
사이버 범죄자는 이 코로나바이러스를 이메일 제목으로 피싱 이메일을 작성하거나 이메일 본문에 넣어 피해자가 링크를 클릭하거나 원치 않는 파일을 다운로드하도록 유인합니다.
조직은 강력한 정책을 배포해야 하며 보안 팀은 이메일 게이트웨이에서 이에 대한 키워드를 찾아야 합니다. 피해자를 함정으로 유인하기가 쉽기 때문입니다.
따라서 조직은 "코로나 바이러스"또는"2019 신종 코로나” 본문 또는 제목 또는 링크. 직원들에게 내부적으로 통지를 교육하거나 회람하고 그 중요성을 이해하십시오.
사전 조치 – 이메일 게이트웨이
. 제목이 있는 차단 이메일에는 외부 소스/알 수 없는 당사자의 "Coronavirus" 또는 "2019-nCoV"가 포함되어 있습니다.
. 일부 조직은 차단되어서는 안 되는 이메일을 내부적으로 보낼 수 있습니다.
. 지금까지 제목이 "Coronavirus" 또는 "2019-nCoV"로 수신된 이메일을 찾고 외부 이메일의 데이터 또는 링크를 조사하십시오.
. 메시지 본문에 포함된 "Coronavirus" 또는 "2019-nCoV"가 포함된 지금까지 받은 이메일을 찾고 외부 이메일의 데이터 또는 링크를 조사하십시오.
시나리오 2: 새로 등록된 도메인에 대한 위협 사냥 가설
이미 일부 위협 활동가는 목표를 달성하기 위해 이러한 매개변수를 사용하기 시작했습니다. 최근 위협 행위자 "사악한 판다: 코로나XNUMX 캠페인" – Check Point Research는 이전에 알려지지 않은 맬웨어 이식을 대상에 전달하기 위해 현재 코로나 바이러스 공포를 이용하는 몽골 공공 부문에 대한 새로운 캠페인을 발견했습니다.
신종 코로나바이러스와 관련하여 새로 등록된 도메인의 수는 COVID-19를 언급하는 악의적인 캠페인을 지원하기 위한 인프라를 구축하는 위협 활동가와 함께 발생이 더 널리 퍼진 이후 증가했습니다. 5000+로 관찰되었다.
도메인 등록의 초기 급증은 19월 중순에 보고된 COVID-19 사례의 큰 급증과 일치했습니다. 이는 공격자가 사이버 공격 벡터로서 COVID-XNUMX의 유용성을 깨닫기 시작했을 수 있음을 나타내는 가능한 지표입니다. 대부분의 도메인은 주차되어 있습니다.
사전 조치
네트워크에서 들어오고 나가는 이러한 도메인 트래픽을 모니터링하는 규칙을 만듭니다. 이러한 새로 등록된 도메인은 매우 까다로우며 대상이 되지 않는 한 그 의도를 알 수 없습니다. 사전 예방적 접근 방식으로 프록시/DNS/방화벽 로그에서 이러한 키워드를 찾으십시오. TLD 및 URL이 아닌 도메인 이름에 집중하십시오.
예:
www.corona-covid.com/coronavirus-update.html
이해해야 할 위의 매개변수:
"코로나 코비드" 도메인 이름입니다
".com" TopLevelDoamin[TLD]입니다.
"/coronavirus-update.html" 경로 [URL]입니다.
모두 웹사이트입니다.
방어 생성에 대한 통찰력:
1.) 누군가 또는 어떤 파일이 "코로나" 또는 "covid-2019"와 같은 키워드로 도메인 이름을 호출하려는 경우 모니터링을 위한 사용 사례를 만듭니다. 그러나 URL이나 웹사이트가 아닌 이 시나리오에 주의하십시오. 그렇지 않으면 많은 오탐지가 발생합니다.
2.) 주로 도메인 대상 시나리오에서. 도메인 이름만.
3.) 경고를 받으면 의심스러운 것으로 결론을 내릴 수 있는 DNS 레코드/AAA 레코드를 이해할 수 있습니다. 소음을 많이 발생시키지는 않지만 조직이 이미 Dwell-time 상태인 경우 거의 실시간에 가까운 콜백 통신을 감지하는 데 도움이 됩니다.
참조/IOC:
결론
감염이 확산됨에 따라 향후 코로나 바이러스에 기반한 악성 이메일 트래픽이 더 많이 발생할 것으로 예상됩니다. 여기에는 코로나 바이러스 발생이 원어민에게 미치는 영향에 따라 다른 언어도 포함될 것입니다. 이 첫 번째 샘플에서 일본인 피해자는 아마도 중국과의 근접성 때문에 표적이 되었을 것입니다. 안타깝게도 위협 행위자가 두려움과 같은 인간의 기본적인 감정을 악용하는 것은 매우 흔한 일입니다. 특히 글로벌 이벤트가 이미 공포와 공황을 야기한 경우에는 더욱 그렇습니다.
IOC에 의존하지 말고 IOB [Indicators of Behaviors]를 기반으로 네트워크를 추적하십시오. 오펜더스가 배울 때, 우리 디펜더는 진화합니다!!
