SvcStealer 2025는 스피어 피싱 이메일 첨부 파일을 통해 전파되는 새로운 유형의 정보 탈취 악성코드입니다. 2025년 XNUMX월 말에 SvcStealer 악성코드 캠페인 활동이 관찰되었습니다. 악성 코드 작성자는 머신 데이터, 설치된 소프트웨어, 사용자 자격 증명, 대상 암호화폐 지갑, 메시징 애플리케이션, 브라우저 데이터 등과 같은 민감한 데이터를 수집합니다. 수집한 데이터를 TA C2 패널로 보내고 C2 서버에서 다른 맬웨어 계열을 다운로드할 수 있습니다.
SvcStealer 맬웨어 위협 행위자는 수집한 세부 정보를 지하 포럼과 범죄 시장에서 판매할 수 있습니다.
기술적 분석 :
Seqrite는 위협 탐지 과정에서 SvcStealer 악성코드를 실제로 발견했습니다. 이 악성코드는 Microsoft Visual C++ 프로그래밍 언어로 작성되었습니다. 이 악성코드는 처음에 피해자 호스트 루트 디렉터리의 볼륨 일련 번호를 획득하고, 그림 11과 같이 획득한 볼륨 일련 번호에 산술 연산을 수행하여 1바이트의 영숫자 값을 생성합니다.
그 후, 악성코드는 "C:\ProgramData" 위치에 11바이트의 영숫자 폴더가 이미 존재하는지 확인합니다. 해당 폴더가 존재하지 않으면 해당 위치에 폴더를 생성하고, 뮤텍스 생성과 유사하게 피해자의 시스템에서 동일한 악성코드 인스턴스가 실행되지 않도록 동작을 종료합니다.
이 폴더를 생성하면 맬웨어는 시스템 관리자와 보안 분석가의 감시를 피하기 위해 시스템에서 실행 중인 아래 프로세스를 종료합니다.
프로세스 이름: Taskmgr.exe, ProcessHacker.exe, procexp.exe, procexp64.exe
그 후에 수확합니다 암호 화폐 피해자 호스트 머신의 지갑 데이터를 가져오고 세부 정보를 "지갑" 폴더.
마찬가지로 대상 메시징 소프트웨어, FTP 클라이언트, 브라우저[비밀번호, 신용카드 정보, 기록 등], 시스템 정보[System_info.txt], 사용자 자격 증명, 설치된 애플리케이션 정보[Software_Info.txt], 피해자 호스트에서 실행 중인 프로세스[Windows_Info.txt] 및 PID 등의 데이터를 수집하고, 스크린샷[Screenshot.jpg], 피해자 호스트의 대상 파일[확장자]을 캡처하여 그림 2에 표시된 폴더에 저장합니다.
타겟 메신저 목록: 64그램, 디스코드, 텔레그램, 톡스
대상 브라우저 목록: Microsoft Edge, Brave, Chromium, Google Chrome, Chrome Canary, Opera, Opera GX, Opera Crypto, Vivaldi, Yandex, Comodo, UC Browser.
대상 파일 확장자 목록: .jpg, .pdf, .docx, .csv, .sql, .cpp, .h, .dat, .wallet, .pkey
피해자의 호스트로부터 모든 정보를 수집한 후, 그림 64에 표시된 것처럼 “C:\ProgramData\6547A12CE1013156883C7” 폴더를 Zip 파일로 압축합니다.
그 후, 2번 포트에서 C80 서버와의 연결을 시도합니다. C2 서버 연결이 완료되면 TA는 수집된 정보를 POST 요청으로 업로드하고 피해자의 컴퓨터를 C2 패널에 등록합니다. C2 서버 세션이 아직 생성되지 않은 경우, 5초 동안 대기하고(sleep 방식), 세션이 성공적으로 생성될 때까지 C2 서버와의 비콘을 유지합니다.
수집된 세부 정보를 C2 서버로 전송한 후, 보안 분석가와 보안 도구가 추적할 수 없도록 압축된 zip 파일과 "C:\ProgramData\64A6547CE12C1013156883"에 저장된 악성 코드 파일을 삭제하여 흔적을 지웁니다.
그림 2와 같이 볼륨 일련 번호에서 폴더를 생성하여 UID를 생성합니다. [TA는 이 UID를 피해자 컴퓨터의 스크린샷 캡처 명령으로 사용합니다.] 그런 다음, 2초간의 대기 시간을 거쳐 성공적인 세션을 얻을 때까지 C5 패널에 맬웨어 비컨을 전송합니다. 첫 번째 C2 도메인에 접속할 수 없는 경우를 대비하여 두 개의 C2 IP 주소를 대체 IP 주소로 사용합니다.
C2 서버에 성공적으로 연결되면 스크린샷을 찍어 "C:\Users\username\AppData\Roaming"에 Screenshot.jpg 파일로 저장한 다음, POST 요청을 통해 캡처한 스크린샷을 C2 패널로 전송합니다.
UID와 마찬가지로, 이 악성코드는 tsk[task command]를 C2 패널로 전송합니다. 악성코드가 C2 서버로부터 응답을 받으면, C2 서버 응답에 언급된 TA URL에서 파일을 다운로드하고, 다운로드된 파일을 임시_[현재 시스템 시간을 기준으로 한 4자리 숫자].EXE C:\Users\username\AppData\Local\Temp\ 또는 C:\Users\username\AppData\Roaming(C2 서버 응답에도 언급됨)에 있으며, ShellExecuteW를 통해 다운로드된 파일을 실행합니다. 분석 시점에는 악성 C2 도메인에 접근할 수 없었습니다. 다른 악성코드를 다운로드했을 가능성이 있습니다.
IOC:
0535262fe0f5413494a58aca9ce939b2
ee0fd4d6a722a848f31c55beaf0d0385
05ef958a79150795d43e84277c455f5d
4868a5a4c8e0ab56fa3be8469dd4bc75
/svcstealer/get[.]php
185 [.] 81 [.] 68 [.] 156
176 [.] 113 [.] 115 [.] 149
감지:
TrojanSpy.SvcStealer.S35070558, TjnSpy.SvcStealer.S35070557
야라 규칙 :
"pe"를 가져오다
규칙 SvcStealer
{
문자열:
$svc1={88 44 24 5A 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5B 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5C 69 C0 CF 1C 13 00 2D D1 DE A9 68 88 44 24 5D}
$svc2={2f737663737465616c65722f6765742e706870}
$svc3="SvcStealer" 와이드 아스키
$svc4={53 63 72 65 65 6E 73 68 6F 74 2E 6A 70 67}
조건:
그들 모두
}
MITRE 공격 TTP:
| 술책 | 기술/절차 |
| 초기 액세스 | T1566.001 :피싱: 스피어피싱 첨부 파일 |
| 방어 회피 | T1070.004 :표시기 제거: 파일 삭제 |
| 자격 증명 액세스 | T1056.001 :입력 캡처: 키로깅 |
| T1552.001 :보안되지 않은 자격 증명: 파일의 자격 증명 | |
| 발견 | T1012 :쿼리 레지스트리 |
| T1518 :소프트웨어 검색 | |
| T1057 :프로세스 발견 | |
| T1082 :시스템 정보 검색 | |
| T1083 :파일 및 디렉토리 검색 | |
| 수집 | T1560 :수집된 데이터 아카이브 |
| T1056.001 :입력 캡처: 키로깅 | |
| T1113 :화면 캡처 | |
| 명령 및 제어 | T1071 :애플리케이션 계층 프로토콜 |
결론 :
위협 행위자는 다음을 통해 이 맬웨어를 전달합니다. 스피어 피싱 악성 문서/Excel, 실행 가능한 바이너리가 첨부되어 있으므로 사용자는 이러한 의심스러운 이메일을 열지 않아야 합니다. SvcStealer 맬웨어 개발자는 IAB(초기 접근 브로커) 역할을 할 수 있습니다. 이 맬웨어는 맬웨어가 생성한 파일과 폴더 추적 정보를 삭제하고 프로세스를 종료하는 우회 기법을 구현합니다. 또한 봇넷 등의 추가 페이로드를 다운로드할 수도 있습니다. [볼륨 일련 번호를 통해] 폴더 이름을 생성하여 피해자의 컴퓨터에서 하나의 인스턴스만 실행되도록 합니다.
