최근 스팸 메일에 첨부된 zip 파일을 통해 새로운 공격이 발견되었습니다. 이 공격에는 갠드크랩 랜섬웨어, 모네로 채굴기, 스패머를 포함한 자바스크립트 파일이 포함되어 있습니다. 이처럼 여러 악성코드 변종이 결합된 것은 새로운 현상이 아니며, 랜섬웨어가 채굴기와 스패머를 결합하는 것은 흔한 일입니다. 이러한 공격은 해커의 수익 창출 가능성을 높이는 데 도움이 됩니다. 피해자가 몸값을 지불하지 않을 경우, 해커는 모네로 채굴기와 스패머를 이용하여 피해자의 시스템을 장악하고 몸값을 요구하는 것이 궁극적인 목표입니다.
스팸 메일은 이 캠페인의 감염원입니다. 공격자는 이러한 유형의 제목 이름을 사용하여 피해자가 메일을 열고 첨부 파일을 열도록 유도합니다. 제목 이름은 다음과 같습니다.인사말 카드”, “"너에게 보내는 내 편지", "항상 너에 대해 생각하고 있어", "이건 너에게 보내는 내 러브레터야", "너에게만!", "너에 대한 생각을 적었어", "사랑해", "너를 사랑하게 됐어!".
JavaScript는 base64 인코딩과 URL 인코딩을 통해 고도로 난독화되어 있습니다. bitsadmin.exe와 PowerShell.exe를 사용하여 호스팅된 맬웨어 도메인에서 아티팩트를 다운로드합니다.
초기 페이로드 다운로드된 파일은 자체 복사본을 생성하고, 스스로 종료한 후 새 위치에서 실행되는 다운로더 파일입니다. 이 파일은 메일 스패머, 모네로 마이너, 갠드크랩 랜섬웨어를 포함하는 세 가지 새로운 구성 요소를 다운로드합니다.
스팸 발송자
1st 스테이지 맬웨어는 여러 이메일로 메일을 발송하는 것을 목표로 하는 메일 스패머입니다. 자바스크립트(초기 벡터)를 첨부 파일로 다운로드하여 여러 이메일 ID에서 발송합니다. 이미 바이너리 파일로 저장된 이메일 ID에 대해 사전 공격을 수행하고, 목록에서 제목 이름 목록을 추출하여 메일을 생성합니다. 이메일 ID는 목록에서 이름을 선택하고 숫자나 문자를 추가하는 방식으로 생성됩니다.
다음은 주체 이름과 사용자 이메일 이름 목록을 보여주는 그림입니다.
Binary를 입력한 후 hxxp://icanhazip.com으로 연결을 시도합니다. 이 사이트는 악성이 아닙니다 이 웹사이트는 응답에서 공개 IP만 알려줍니다.
“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”에 지속 항목 추가
스패머는 CnC 서버에서 메일 ID 목록을 가져와 이를 이용하여 동일한 JavaScript 파일이 포함된 여러 개의 스팸 메일을 첨부 파일로 유포합니다. 이 목록에는 약 20000개의 메일 ID가 있습니다. 매 실행 시 서버로부터 새로운 메일 ID 목록을 받습니다.
ESMTP는 사용자 설정 가능한 릴레이 전용 메일 전송 에이전트(MTA)로, send-mail과 호환됩니다. MTA는 SMTP를 사용하여 한 컴퓨터에서 다른 컴퓨터로 전자 메일 메시지를 전송하는 데 사용됩니다. SMTP 사용자는 연결 시 확인되지 않으므로, 이메일이 신뢰할 수 있는 것으로 간주될 필요가 없습니다. 이것이 SMTP의 장점입니다. SMTP오픈 SMTP 릴레이는 대량의 스팸 캠페인을 보내는 데 자주 사용됩니다.
여기 패킷에서 서버-클라이언트 통신이 어떻게 이루어지는지 볼 수 있습니다.
| 서버: “220 smtp.example.com ESMTP Postfix”가 설정되었습니다. | (그런 다음 클라이언트-서버 통신이 발생합니다.) |
| 클라이언트: HELO [relay.example.com] | (SMTP 클라이언트가 호스트 이름으로 로그온합니다) |
| 서버: 250 smtp.example.com 안녕하세요[호스트 이름], 만나서 반갑습니다 | (서버가 로그인을 확인합니다) |
| 고객: 발신: | (클라이언트가 발신자 주소를 지정합니다) |
| 서버: 250 발신자 확인 | (서버 확인) |
| 고객: RPCT 수신: | (클라이언트가 발신자 주소를 지정합니다) |
| 서버: 250 수신자 확인 | (서버 확인) |
| 고객: DATA | (클라이언트가 이메일 전송을 시작합니다) |
| 서버 : 354 데이터 종료 . | (서버가 수신을 시작하고 표시함
해당 이메일 텍스트는 마침표(“.”)로 닫아야 합니다. |
| 고객: 에서:>
에게> 날짜: 일 월 년, 시간 제목 : 메시지 본문 |
(클라이언트는 "제목 이름"을 포함한 이메일 txt를 전송하고 원하는 마침표로 끝맺습니다) |
| 서버: 정상 | (서버가 이메일을 성공적으로 수신했음을 확인합니다) |
| 고객: 종료 | (클라이언트가 세션 종료 신호를 보냅니다) |
SMTP에 대한 자세한 내용은 다음을 참조하세요. 여기에서 확인하세요.
SMTP를 사용하여 보낸 메일은 다음과 같습니다.
갱부
2nd 스테이지 페이로드는 Monero(XMRig) 채굴기입니다. Monero 채굴기는 Cryptonight 알고리즘을 사용합니다. 채굴기가 실행되면 숨겨진 속성을 가진 폴더 하나를 생성하고, base64로 인코딩된 JSON 형식의 구성 파일을 포함한 자체 복사본을 생성합니다. 또한 손상된 서버를 검색하고 새로운 변종을 다운로드하는 VBS 파일도 생성합니다. 이 스크립트는 실행 후 삭제됩니다.
컴퓨터에 남아 있기 위해 악성 소프트웨어의 자체 복사본을 호출하는 코드가 포함된 인터넷 바로가기 파일을 시작 프로그램 폴더에 저장합니다.
디코딩된 구성 파일의 스크린샷은 다음과 같습니다.
이 마이너는 일부 안티바이러스 프로세스도 검색하지만, 마이너 코드에 결함이 있어 안티바이러스 프로세스를 발견하더라도 아무런 활동 루프를 실행하지 않습니다. 다음 프로세스를 계속 검색합니다.
이 마이너 프로세스는 마이너와 관련된 어떠한 악의적인 활동도 하지 않으며, 자체 코드를 wupp.exe(32비트 OS용) 또는 notepad.exe(64비트 OS용) 프로세스로 압축하여 구성 파일을 사용하여 추가적인 마이닝 활동을 수행합니다.
이 마이너에는 taskmgr.exe가 실행 중인지 지속적으로 확인하는 또 다른 루프가 있습니다. taskmgr.exe가 실행 중이면 wupp.exe/notepad.exe 프로세스를 종료합니다. taskmgr.exe 프로세스가 종료되면 다시 코드를 비우고 채굴을 시작합니다.
다음 이미지는 마이너가 작업 관리자에서 자신을 숨기는 방법을 보여줍니다.
다음 트래픽은 XMRig Monero 채굴 활동을 보여줍니다.
GandCrab 랜섬웨어
3rd 시스템에 다운로드된 스테이지 페이로드에는 GandCrab 랜섬웨어가 포함되어 있습니다. 실행 후 이 파일은 RegKey 입력을 사용하여 러시아어 키보드 레이아웃을 확인하고, 발견되면 프로세스가 종료됩니다.
랜섬웨어는 또한 바이러스 백신이 실행 중인지 여부를 검색합니다.
우리는 이미 게시된 블로그 GandCrab 랜섬웨어 관련 게시물입니다. 이전 블로그에서 논의된 것과 동일한 동작이 발견되었습니다.
몸값 요구서는 다음 이미지에 나와 있습니다.
Seqrite 감지
시크라이트 EPS 다양한 탐지 수준으로 이러한 캠페인을 성공적으로 탐지했습니다.
IOC
a14a3a3036a1706408443e28399a15c1
916cdbc267ca752999365467c05d573b
eb30145e2cb82687f8dac728be1e4b91
e0e5164cf5b19d56f33520cd44875c95
맺음말
자바스크립트는 스팸 메일 캠페인의 초기 공격 벡터로 다양한 악성코드를 유포하는 데 이미 사용되고 있습니다. "LOVE YOU" 태그는 사용자의 주의를 끌고 첨부 파일을 열도록 유도하여 결국 컴퓨터를 감염시키는 데 사용됩니다. 따라서 이러한 종류의 스팸 메일과 첨부 파일에 주의하십시오.
주제 전문가:
프라샨트 타일카르, 아니루다 돌라스 | 보안 연구소
