피드로 돌아가기
Dev.toSecurity
원문 읽기
APT35 HyperScrape 탐지를 통한 데이터 유출 차단 및 호스트 격리
LetsDefend SOC250 - APT35 HyperScrape Data Exfiltration Tool Detected
AI 요약
Context
APT35 CharmingKitten 그룹의 HyperScrape 툴을 이용한 데이터 유출 시도 발생. Endpoint Security 및 Log Management 시스템을 통해 외부 C2 서버와의 통신 및 악성 파일 실행 경로 분석 필요.
Technical Solution
- VirusTotal API 기반의 Hash 분석을 통한 파일 악성 여부 조기 판별
- Endpoint Security 로그 분석을 통한 EmailDownloader.exe 및 MpCmdRun.exe의 프로세스 트리 추적
- Firewall 로그의 SUCCESS 상태 값을 통한 외부 IP(173.209.51[.]54)로의 데이터 유출 경로 확인
- MpCmdRun.exe의 SignaturesUpdateService 파라미터 조작을 통한 시그니처 변조 시도 탐지
- 즉각적인 Host Containment 조치를 통한 추가적인 Lateral Movement 차단
실천 포인트
1. 프로세스 실행 트리 내에서 explorer.exe -> EmailDownloader.exe와 같은 비정상적 실행 경로 모니터링
2. MpCmdRun.exe 등 시스템 바이너리의 -UnmanagedUpdate와 같은 비표준 파라미터 사용 여부 검토
3. Firewall의 허용(SUCCESS) 로그와 Threat Intelligence IP 리스트의 교차 검증 체계 구축