차례:
- 소개 :
- 대상 부문:
- 캠페인에 대한 초기 조사 결과:
- 피싱 메일 분석:
- 감염 사슬:
- 기술적 분석 :
- 1단계: 악성 ISO 파일 분석.
- 2단계: 실행 파일 분석.
- 1의 분석st Payload
- 2의 분석nd 페이로드(팬텀 스틸러)
- 결론: 왜 머니마운트-ISO 작전을 해야 하는가?
- Seqrite 적용 범위:
- IOC
- MITER ATT & CK
소개 :
Seqrite Labs는 전 세계 사이버 위협 활동을 지속적으로 모니터링하고 있습니다. 진행 중인 위협 모니터링 과정에서 Seqrite Labs 연구팀은 러시아에서 시작된 피싱 캠페인을 발견했습니다. 이 캠페인은 가짜 결제 확인 링크를 미끼로 사용하여 여러 단계의 첨부 파일을 통해 정보 탈취 악성코드인 Phantom을 유포합니다.
이 공격은 합법적인 금융 거래 확인 메일로 위장한 소셜 엔지니어링 이메일로 시작됩니다. 이메일에는 악성 ZIP 압축 파일이 포함되어 있으며, 이 파일을 열면 악성 페이로드가 실행됩니다.
대상 분야:
- 주요 목표 분야: 러시아의 재무/회계/재무관리/지불 시스템.
- 보조 목표 분야: 구매, 법무, 인사/급여, 임원 비서, 중소기업(러시아어 사용 가능자).
위험 요소: 자격 증명 도용, 청구서/지불 사기, 무단 이체, IT 시스템으로의 계정 이동.
캠페인에 대한 초기 조사 결과:
이메일을 분석한 결과 "Подтверждение банковского перевода"(은행 송금 확인)라는 제목의 러시아어 피싱 메시지였습니다. 에서 보낸 것입니다. achepeleva@iskra-svarka[.]ru Демьяненко Антон Владимирович(Anton Vladimirovich Demyanenko)를 대신하여 주소를 사용합니다. agrariy@agroterminal[.]c해당 메시지는 최근 은행 송금 내역을 확인하는 내용이며, 수신자에게 자세한 내용은 첨부된 문서를 참조하라고 안내합니다.
해당 이메일은 금융 또는 거래 회사("TorFX 통화 브로커")를 사칭하는 것으로 보이며, 은행 송금 확인 메일을 보낸다고 주장합니다.
사용된 언어와 어조를 보면, 이 문서는 재무 또는 회계 담당자에게 합법적으로 보이도록 의도된 공식적인 러시아 비즈니스 스타일로 작성된 것으로 보인다.
해당 이메일에는 "Подтверждение банк….zip"과 같은 이름의 ZIP 파일(약 1MB)이 첨부되어 있으며, 이 파일에는 악성 ISO 파일이 들어 있습니다. ISO 파일을 열면 가상 CD 드라이브로 마운트되어 정상적인 결제 확인 메일처럼 위장한 실행 파일(.exe)이 표시됩니다. 이 파일을 실행하면 팬텀 스틸러(Phantom stealer) 악성코드가 시스템을 감염시킵니다.
이메일의 내용과 구조는 합법적인 비즈니스 서신을 모방하여, 은행 거래 확인을 구실로 재무 또는 회계 담당자가 첨부 파일을 열도록 유도하는 것을 목적으로 합니다. 어조는 격식 있고 전문적이며, 의도적으로 일반적인 표현("Sir"와 같은 호칭 사용)을 사용하여 특정 개인에게 보낸 것이 아니라 여러 수신자 또는 부서 사서함으로 발송되었음을 암시합니다.
발신자 도메인("iskra-svarka.ru")과 "대리" 도메인("agroterminal.c")은 이메일 하단에 언급된 "TorFX Currency Broker"라는 조직과는 아무런 관련이 없습니다. 이는 신뢰도를 높이기 위해 의도적으로 사칭 및 위장 행위를 한 명백한 증거입니다.
감염 사슬:
기술적 분석 :
우리는 이메일을 분석하고 이름이 Подтверждение банковского перевода.zip인 Zip 파일을 다운로드했습니다.
1단계: 악성 ISO 파일 분석.
ZIP 압축 파일에서 Подтверждение банковского перевода.iso("은행 송금 확인.iso")라는 제목의 ISO 파일을 추출했는데, 이는 러시아에서 제작된 것임을 나타냅니다. 해당 ISO 파일을 실행하자 자동으로 마운트되었고, 스크린샷에 표시된 실행 파일이 포함된 마운트된 드라이브가 나타났습니다.
2단계: 실행 파일 분석:
실행 파일을 분석한 결과, 해당 파일이 메모리에 추가 페이로드를 로드하는 것을 발견했는데, 이것이 바로 팬텀 스틸러였습니다.
분석 과정에서 다음과 같은 사실을 확인했습니다. SRC 하는 시스템.드로잉.비트맵 객체. 이는 일반적으로 이미지에 임베디드 코드나 데이터(스테가노그래피)가 포함되어 있거나 실행 가능한 코드를 재구성하는 데 소스로 사용되고 있음을 시사합니다.
1의 분석st 페이로드 :
추출 과정에서 우리는 첫 번째 페이로드 DLL을 식별했습니다. CreativeAI.dll추가 분석 결과, 이 DLL에는 암호화된 페이로드가 포함되어 있으며, 복호화 시 악성코드를 주입하는 것으로 밝혀졌습니다. 팬텀 스틸러 악성 코드.
최종 탑재체(팬텀 스틸러) 분석:
분석 결과, 최종 페이로드는 팬텀 스틸러(phantom stealer)로 확인되었으며, 아래는 팬텀 코드의 일부입니다.
반분석
AntiAnalysis 클래스는 가상화, 샌드박스 또는 분석가 제어 환경의 머신을 탐지하기 위해 일련의 환경 검사를 실행하는 방어 게이트키퍼입니다. 검사에서 이상 징후가 발견되면 해당 내용을 로그에 기록하고 SelfDestruct.Melt()를 호출하여 자체적으로 종료/삭제합니다. 이 클래스는 의심스러운 사용자 이름과 머신 이름을 검색하고, WMI를 통해 GPU에서 VM 어댑터 이름을 열거하고, 실행 중인 프로세스와 Windows 서비스에서 알려진 분석 도구를 찾고, 로컬 IP 주소를 블랙리스트와 비교하고, 레지스트리에서 시스템 MachineGuid를 읽고, 일반적인 샌드박스 DLL을 탐지합니다.
암호화폐 지갑 유출
BrowserWallets 클래스는 Chromium 기반 브라우저에 설치된 암호화폐 지갑 브라우저 확장 프로그램을 찾아 데이터를 추출하는 간단한 오케스트레이터입니다. 이 클래스는 지갑 이름과 해당 Chrome/Edge 확장 프로그램 ID를 매핑하는 대규모 사전을 정의하고, 그에 상응하는 데이터를 생성합니다. 로컬 확장 설정 Chrome 및 Edge 사용자의 프로필 내 폴더 경로를 지정한 다음, 실제 추출 작업은 BrowserWalletExtensionsHelper.GetWallets 메서드에 위임합니다. RunAllWalletExtraction() 메서드는 출력 폴더를 생성하고 Chrome 및 Edge 추출 루틴을 모두 호출하여 수십 개의 알려진 암호화폐 확장 프로그램에서 저장된 지갑 데이터를 일괄적으로 수집할 수 있도록 합니다.
또한 데스크톱 지갑 수집 기능도 수행하여 호스트에서 데스크톱(브라우저가 아닌) 암호화폐 지갑을 수집합니다. 이를 위해 여러 지갑 앱의 알려진 설치 위치(로컬 및 로밍 AppData 경로)와 레지스트리 키를 정의한 다음, GetWallets() 함수를 사용하여 출력 폴더(InitWorkDir()/DesktopWallets/Grabber)를 생성하고, 알려진 각 디렉터리에 대해 CopyWalletFromDirectoryTo 함수를 호출하고 알려진 각 레지스트리 항목에 대해 CopyWalletFromRegistryTo 함수를 호출하여 지갑 데이터를 복사하려고 시도합니다.
디스코드 데이터
Chromium 브라우저의 LevelDB 파일과 Discord 클라이언트 디렉터리에서 Discord 인증 토큰을 추출합니다. *.ldb 파일을 스캔하여 기존 토큰 패턴(BasicRegex), MFA 토큰(NewRegex), 암호화된 Chrome/Discord 토큰을 포함한 다양한 토큰 패턴을 찾습니다.
수집된 모든 토큰은 중복 제거된 후 Discord API(/users/@me)에 인증된 요청을 전송하여 사용자 이름, 이메일, 전화번호, ID 및 Nitro 상태와 같은 관련 사용자 정보를 검색함으로써 유효성을 검사합니다.
FileGrabber: 특정 파일 수집 및 유출 모듈
크롬 브라우저에서 브라우저 비밀번호, 쿠키 및 신용카드 정보 추출
ChromiumRecovery는 Paths.ChromiumBrowsers에 나열된 모든 Chromium 기반 브라우저를 스캔하고, 사용자 프로필을 열거한 다음, BrowserCrypto 복호화 도구를 사용하여 브라우저의 SQLite 데이터베이스(로그인 데이터, 네트워크/쿠키, 웹 데이터)에서 저장된 자격 증명, 쿠키 및 신용 카드 정보를 복구하는 데이터 추출 모듈입니다. 이 모듈은 각 데이터베이스를 원시 바이트로 읽고, SqlLite3Parser로 테이블을 구문 분석하고, 암호, 쿠키 값, 카드 번호와 같은 보호된 필드를 복호화한 다음, 각 프로필에서 복구된 데이터를 나타내는 구조화된 객체를 생성하고 추출 카운터를 업데이트합니다. 또한 수집된 모든 정보를 타임스탬프가 포함된 텍스트 및 JSON 파일로 내보낼 수 있으며, 감지된 모든 Chromium 브라우저에서 복구된 암호, 쿠키 및 신용 카드 데이터에 대한 전체 보고서를 생성할 수 있습니다.
ClipLogger — 클립보드 내용을 지속적으로 모니터링하고 기록하는 유틸리티
ClipLogger는 백그라운드 STA 스레드를 생성하여 Windows 클립보드를 매초마다 폴링합니다(OpenClipboard, GetClipboardData, GlobalLock 등의 네이티브 Win32 API 사용). 클립보드에 저장된 새로운 일반 텍스트 내용을 캡처하고, 마지막으로 캡처된 항목과 중복을 제거한 후, 타임스탬프가 지정된 항목을 메모리 버퍼에 추가하고, 단어 수를 계산합니다. 누적 단어 수가 100에 도달하거나 프로그램이 종료되면 버퍼 내용을 타임스탬프가 지정된 파일로 프로그램 작업 디렉터리에 자동으로 저장합니다. 클립보드 접근 실패를 안전하게 처리하고, 텍스트 이외의 형식은 무시하며, 저장에 성공할 때마다 상태를 초기화합니다.
키로거 - 저수준 전역 키 입력 캡처 및 덤프 구성 요소
키로거는 백그라운드 스레드에 전역 저수준 키보드 후크(SetWindowsHookEx WH_KEYBOARD_LL)를 설치하고, WM_KEYDOWN/WM_SYSKEYDOWN 이벤트를 수신하고, 가상 키 코드를 읽기 쉬운 문자열(문자, 숫자, 기능 키, 탐색 키 및 일반 OEM 문자 처리)로 변환하고, 단어 구분 기호를 계산하면서 캡처된 토큰을 스레드 안전 목록에 누적하고, 단어 개수 임계값에 도달하면 타임스탬프가 포함된 일반 텍스트 로그(컴퓨터 이름 + 캡처된 키 입력)를 프로그램 작업 디렉터리에 주기적으로 기록합니다.
로그 및 기타 세부 정보를 캡처합니다.
이 함수는 출력 ZIP 경로(선택적으로 재정의하거나 sourceDir + “.zip”)를 생성하고, 도구/버전 및 시스템 메타데이터(공용 IP, 날짜, 사용자 이름, 컴퓨터 이름, 언어, AV 상태)를 포함하는 여러 줄 주석을 작성하며, 실행된 그래버 모듈을 표시하는 토글 기능을 추가합니다. 그런 다음 ZipManager.CreateZip(sourceDir, text, comment)를 호출하여 아카이브를 생성하고, Filemanager.RecursiveDelete를 통해 원래 sourceDir을 삭제하고, 생성된 ZIP 경로를 로그에 기록한 후, 마지막으로 ZIP 파일 경로를 반환합니다.
데이터 추출
- 텔레그램 모듈
이 악성코드의 텔레그램 명령 및 제어(C2) 데이터 유출 모듈은 암호화된 형태로 저장된 공격자 제어 봇 토큰을 사용하여 텔레그램 봇 API 엔드포인트에 접속하는 비동기 루틴을 포함합니다. SendMessageAsync, SendMessageInfoAsync, SendReportAsync 함수는 컴파일러가 생성하는 비동기 래퍼 함수로, 최종적으로 텍스트 메시지, 피해자 시스템 정보 또는 탈취한 데이터 보고서/파일을 공격자의 텔레그램 봇으로 전송합니다.
- 디스코드 모듈
UploadToDiscord 클래스는 공격자가 제어하는 Discord 웹훅으로 수집된 데이터를 유출하도록 설계된 악성코드 모듈입니다. 이 클래스는 비동기 메서드인 UploadFilesAsync를 노출하는데, 이 메서드는 async/await 컴파일러 변환을 통해 자동으로 생성된 상태 머신을 실행하여 탈취한 파일을 Discord에 업로드합니다. 이 클래스는 복호화된 웹훅 URL을 Config.DiscordWebhook에서 직접 가져오는데, 이는 이전에 발견된 로그 또는 유출된 데이터를 전송하는 데 사용된 것과 동일한 Discord 엔드포인트를 사용한다는 것을 의미합니다.
C2C : hxxps://discordapp.com/api/webhooks/143138186644…EPOWJm74GOZpqJMIKIKTAAWsSKMiUIaLaShpn_VTGWZPjJNYj6_ioSs-BQNZt1WK
- FTP 모듈
UploadToFtp 클래스는 FTP 서버에 파일을 업로드하는 비동기 기능을 제공합니다. UploadAllAsync 메서드는 구성된 모든 파일을 업로드하고 SendMessageAsync 메서드는 로컬 파일 하나를 업로드합니다. 이 기능은 컴파일러가 생성하는 비동기 상태 머신을 통해 구현되며, 실제 업로드 로직은 이러한 생성된 구조체 내에 있습니다. 두 메서드 모두 호스트, 사용자 이름, 비밀번호 및 SSL/패시브 모드에 대한 선택적 플래그를 허용하므로, 모듈은 런타임에 다양한 FTP 자격 증명으로 구성할 수 있습니다.
결론: 왜 머니마운트-ISO 작전을 해야 하는가?
MoneyMount-ISO 작전은 금융 관련 목적으로 운영되는 러시아 위협 집단이 ISO 마운트 실행 파일을 활용하여 단계적 페이로드 체인을 통해 Phantom Stealer를 유포하는 방식을 보여줍니다. 이 캠페인의 결제 확인 유도 및 사칭된 러시아 기업 도메인은 금융 관련 직무를 대상으로 한 자격 증명 탈취 활동을 시사합니다.
이번 작전은 상품 탈취범들의 수법이 점점 더 정교해지고 있으며, 경계 통제를 회피하기 위해 ISO 기반 초기 접근 방식을 전략적으로 채택하고 있음을 반영합니다. 컨테이너화된 첨부 파일의 지속적인 필터링, 메모리 동작 모니터링, 그리고 금융 관련 이메일 워크플로우 강화는 여전히 필수적인 완화 조치입니다.
Seqrite 적용 범위:
- 트로이 목마_팬텀_Y10018
IOC:
| 27bc3c4eed4e70ff5a438815b1694f83150c36d351ae1095c2811c962591e1bf | 이메일 |
| 4b16604768565571f692d3fa84bda41ad8e244f95fbe6ab37b62291c5f9b3599 | Подтверждение banковского перевода.zip |
| 60994115258335b1e380002c7efcbb47682f644cb6a41585a1737b136e7544f9 | Подтверждение bancoвского перевода.iso |
| 78826700c53185405a0a3897848ca8474920804a01172f987a18bd3ef9a4fc77 | HvNC.exe |
미터 공격:
| 단계 | 기술 | 기술 ID |
| 초기 액세스 | 피싱: 첨부파일 | T1566.001 |
| 사용자 실행: 악성 파일 | T1204.002 | |
| 드라이브 바이 소셜 엔지니어링 | T1654 | |
| 실행 | 네이티브 API 실행 / 바이너리 실행 | T1106 |
| ISO 마운트된 파일 실행 | T1204.002 | |
| 방어 회피 | 암호화/난독화된 페이로드 | T1027 |
| 이미지 내 스테가노그래피/페이로드 | T1027.003 | |
| 가상화/샌드박스 회피 | T1497 | |
| 위장 | T1036 | |
| 자체 삭제 | T1070.004 | |
| 페이로드 로딩 | DLL 주입 | T1055.001 |
| 리플렉티브 로딩 / 인메모리 실행 | T1620 | |
| 자격 증명 액세스 | 웹 브라우저를 통한 자격 증명 액세스 | T1555.003 |
| 발견 | 시스템 정보 검색 | T1082 |
| 프로세스 발견 | T1057 | |
| 보안 소프트웨어 발견 | T1518.001 | |
| 수집 | 키 로깅 | T1056.001 |
| 클립보드 모음 | T1115 | |
| 파일 수집 | T1039 | |
| 브라우저 데이터 수집 | T1119 | |
| 애플리케이션 토큰 도용 (디스코드) | T1528 | |
| 암호화폐 지갑 도난 | T1555 | |
| 여과 | 웹 서비스를 통한 유출(텔레그램) | T1567.002 |
| 클라우드/웹훅(디스코드)으로 데이터 유출 | T1530 | |
| 암호화되지 않은/FTP 채널을 통한 데이터 유출 | T1048 | |
| 데이터는 아카이브(ZIP)에 저장됩니다. | T1560.001 |
저자 :
딕시트 판찰
소우멘 버마
카르틱 지바니
