Trend Micro Vision One에서 Ducktail의 관리 XDR 조사

Impotant:
https://getip.pro

요약:
2022년 7월, 보안 연구원들은 Ducktail이라는 작전을 발견했습니다. Facebook 비즈니스 계정에 접근할 수 있는 개인과 직원을 대상으로하는 정보 도용 맬웨어를 사용했고, LinkedIn 직접 메시지를 통해 마케팅과 HR 전문가를 대상으로하는 스피어 피싱 캠페인을 시작했습니다. 2023년 3월, Trend Micro Managed XDR 팀은 Ducktail 관련 웹 브라우저 자격 증명 사고를 조사했고, Facebook 및 Telegram 도메인에 연결하는 파일의 참여를 발견했습니다.

내용:
2022 년 7 월, 보안 연구원들은 위협 행위자 인 Ducktail이라는 작전을 발견했습니다.Facebook 비즈니스 계정에 액세스 할 수있는 개인 및 직원을 대상으로하는 정보 도용 맬웨어를 사용했습니다.가해자는 마케팅 및 HR 전문가를 대상으로하는 LinkedIn 직접 메시지를 통해 스피어 피싱 캠페인을 시작했습니다.이 계획을 통해 Ducktail의 위협 행위자는 Facebook 비즈니스 계정을 인수하고 악의적 인 광고 배포에 대한 광고 기능을 남용 할 수 있습니다.성장과 인기를 감안할 때 LinkedIn은 사회 공학 체계와 사이버 범죄 운영에 선호되는 옵션이되었습니다.
2023 년 3 월, Trend Micro Managed XDR 팀은 여러 고객과 관련된 여러 Ducktail 관련 웹 브라우저 자격 증명 사고를 조사했습니다.결과적으로 브라우저 정보, IP 주소 및 지리적 위치와 같은 사용자 데이터를 모으는 동시에 Facebook 및 Telegram 도메인에 연결하는 파일의 참여를 발견했습니다.이 블로그 항목에서 우리는 이러한 사건을 기반으로 연구 결과와 기술 분석을 제시합니다.
기술 분석
마케팅 디렉터 (그림 1)를위한 구직에 대한 참조가 포함 된 샘플 파일의 파일 이름은 마케팅 전문가를 대상으로합니다.또한 아카이브에 액세스하도록 유혹하기 위해 더 높은 리더십 위치를 언급 할 가능성이 높습니다.다운로드 링크에만 액세스 할 수 있었으므로 이러한 링크를 대상으로 어떻게 전달했는지 명확하게 말할 수는 없습니다.그러나 Ducktail의 역사적 플랫폼 사용이 주어지면 LinkedIn 메시지가 사용되었을 수 있습니다.
파일 이름을 통해 아카이브의 소스 (그림 3)뿐만 아니라 내용 (그림 2)을 수집 할 수있었습니다.도메인을 확인하면 Apple의 클라우드 파일 호스팅 서비스 인 iCloud에서 악의적 인 파일이 호스팅되었음을 발견했습니다.URL은 글을 쓰는 시점에 이미 비활성 상태입니다.그림 1. 마케팅을 참조하는 아카이브 이름.....

Open New Windows

Trend Micro Vision One에서 Ducktail의 관리 XDR 조사:
https://www.trendmicro.com/en_us/research/23/e/managed-xdr-investigation-of-ducktail-in-trend-micro-vision-one