개요
올해 초, 저희는 스피어피싱과 스테가노그래피를 활용하여 피해자의 시스템에 침투하는 정교한 악성코드인 VIP 키로거에 대한 백서를 발표했습니다. 이 키로거는 특히 웹 브라우저와 사용자 인증 정보를 노리는 데이터 유출 기능으로 악명 높습니다.
최근 발견된 캠페인에서 위협 행위자들은 다시 한번 스피어피싱 전술을 사용하여 악성코드를 유포했습니다. 그러나 이전 캠페인과는 달리, 이번 캠페인은 Auto-It 기반 인젝터를 사용하여 최종 페이로드 VIP 키로거를 배포합니다.
이 악성코드는 일반적으로 악성 첨부 파일이나 내장 링크가 포함된 피싱 이메일을 통해 유포됩니다. 실행되면 VIP 키로거가 설치되는데, 이 키로거는 키 입력을 기록하고 Chrome, MS Edge, Mozilla 등 널리 사용되는 웹 브라우저의 사용자 인증 정보를 수집하며 클립보드 활동을 모니터링하여 민감한 정보를 훔치도록 특별히 설계되었습니다.
이 캠페인에서는 AutoIt 스크립트를 사용하여 악성 페이로드를 전달하고 실행합니다. 위협 행위자들은 AutoIt을 자주 활용하는데, 이는 난독화가 쉽고 스크립트를 실행 파일로 컴파일하여 기존 안티바이러스 솔루션을 우회할 수 있기 때문입니다.
감염 체인 및 프로세스 트리:
이 캠페인은 "paymentreceipt_USD 86,780.00.pdf.pdf.z"라는 이름의 ZIP 파일을 포함한 스피어피싱 이메일로 시작됩니다. 이 아카이브에는 "paymentreceipt_USD 86,780.00 pdf.exe"로 위장한 악성 실행 파일이 포함되어 있어, 사용자가 무해한 문서라고 믿도록 유도합니다. 실행 파일이 실행되면 내장된 AutoIt 스크립트를 실행하고 두 개의 암호화된 파일인 leucoryx와 avenes를 temp 폴더에 저장합니다. 이 파일들은 런타임에 복호화되고, 최종 페이로드인 VIP Keylogger는 아래 그림과 같이 프로세스 할로잉 기법을 사용하여 RegSvcs.exe에 삽입됩니다.
침투:
이 캠페인은 "paymentreceipt_USD 86,780.00 pdf.pdf.z"라는 이름의 ZIP 파일을 포함한 스피어피싱 이메일로 시작됩니다. 이 아카이브에는 "paymentreceipt_USD 86,780.00 pdf.exe"로 위장한 악성 실행 파일이 포함되어 있어, 사용자가 무해한 문서로 착각하도록 유도합니다. 실행되면 내장된 AutoIt 스크립트가 실행되어 아래 이미지와 같이 VIP 키로거를 시스템에 설치합니다.
실행 파일을 추가로 포함하는 Zip 첨부 파일입니다.
아래 그림과 같이 실행 중에 leucorynx와 aveness라는 두 개의 파일이 시스템의 Temp 디렉터리에 저장됩니다.
AutoIt 스크립트:
이 AutoIt 스크립트는 메모리에 저장된 페이로드를 복호화하고 실행합니다. 먼저 temp 디렉터리에 있는 암호화된 파일 leucoryx를 확인하고, 내용을 읽은 후, 사용자 지정 XOR 함수(KHIXTKVLO)를 사용하여 복호화합니다. 복호화된 데이터는 메모리 구조에 저장됩니다.
복호화된 페이로드에 대한 포인터를 가져오고 DllCall을 사용하여 실행 가능한 메모리를 할당하고 페이로드를 할당된 메모리에 복사합니다. 두 번째 DllCall이 실행을 트리거하고 메모리에서 페이로드를 실행합니다.
아래 그림에서 볼 수 있듯이 백악질에는 디코드 파일의 키가 들어 있습니다.
이 악성코드는 지속성을 유지하기 위해 시작 폴더에 .vbs 스크립트를 생성합니다. 이 스크립트는 "AppData\Local" 디렉터리에 있는 기본 페이로드를 실행합니다.
VB 스크립트는 사용자가 로그인할 때마다 "AppData\Local\Dunlop" 디렉토리에 있는 페이로드(definitiveness.exe)가 실행되도록 하여 재부팅 후 백그라운드에서 자동으로 작동하도록 합니다.
삭제된 파일 avness는 아래 그림과 같이 메모리에 로드됩니다. 로드된 파일의 내용은 내장된 페이로드의 압축 해제 또는 디코딩을 담당하는 사용자 지정 복호화 루틴으로 전달됩니다.
아래 그림은 암호화된 페이로드의 주소와 XOR 키를 인수로 받는 복호화 함수를 보여줍니다.
아래 그림은 페이로드가 반복적으로 디코딩되는 복호화 루프를 강조합니다. 메모리 덤프는 복호화된 페이로드 내용을 보여줍니다.
복호화된 페이로드는 .NET VIP 키로거입니다.
프로세스 홀로우링:
아래 그림은 CreateProcess를 사용하여 RegSvcs.exe를 일시 중단 상태로 생성하는 프로세스 할로잉(process hollowing) 기법을 보여줍니다. 이를 통해 맬웨어는 원래 코드의 매핑을 해제하고 실행을 재개하기 전에 프로세스 메모리에 자체 페이로드를 삽입할 수 있습니다.
아래 그림과 같이, 복호화된 페이로드는 regsvc.exe의 주소 공간에 매핑됩니다. 메모리 덤프에는 페이로드와 관련된 문자열이 포함되어 있습니다.
페이로드: VIP 키로거
이 캠페인에서 전달되는 최종 페이로드는 VIP Keylogger입니다. 우리는 이미 해당 기능, 역량 및 동작에 대한 포괄적인 분석을 제공했습니다. 기술 논문 VIP Keylogger에 관하여.
IOC:
| MD5 | 파일 이름 |
| F0AD3189FE9076DDD632D304E6BEE9E8 | 지불 영수증_USD 86,780.00 pdf.exe |
| 0B0AE173FABFCE0C5FBA521D71895726 | VIP 키로거 |
| 도메인/IP | |
| hxxp[:]//51.38.247.67:8081 |
보호:
트로이 목마.에이전트시르
트로이 목마.야크벡스MSIL.ZZ4
미터 공격:
| 술책 | 기술 ID | 성함 |
| 난처 | T1027 | 난독화된 파일 또는 정보 |
| 실행 | T1204.002 | 사용자 실행: 악성 파일 |
| 실행 | T1059.006 | 명령 및 스크립팅 해석기: Python |
| 화면 캡처 | T1113 | 화면 캡처 |
| 피해자 호스트 정보 수집 | T1592 | 시스템 정보를 수집합니다 |
| 입력 캡처 | T1056 | 키 로깅 |
| 방어 회피 | T1055.002 | 프로세스 주입: 휴대용 실행 파일 주입 |
| 콘텐츠 주입 | T1659 | 시스템에 악성 코드 주입 |
| 명령 및 제어 | T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 |
저자:
바이바브 빌라데
루마나 시디키
