"그래스콜" 멀웨어 캠페인 러시아어를 사용하는 사이버 범죄 조직 "Crazy Evil"이 자행한 고도화된 사회 공학적 공격으로, 해당 조직의 하위 조직 "kevland"가 작전을 지휘하고 있습니다. 이 캠페인은 암호화폐 및 웹 3 분야의 구직자를 특히 표적으로 삼아, 가짜 면접 수법을 사용하여 피해자의 시스템을 침해하고 암호화폐 자산을 훔칩니다.
수백 명의 사람들이 이 사기에 피해를 입었고, 일부 사람들은 공격으로 인해 지갑이 털렸다고 보고했습니다.
이를 뒷받침하는 위협 행위자 개요:
크레이지 이블(Crazy Evil)은 러시아어를 사용하는 사이버 범죄 조직으로, 2021년 설립 이후 빠르게 성장하여 디지털 자산을 노리는 가장 활발하게 활동하는 조직 중 하나로 자리매김했습니다. 이 조직은 신원 사기, 암호화폐 절도, 그리고 정보 탈취용 악성코드 배포를 전문으로 합니다. 이들의 활동은 정교한 사회 공학적 전술을 특징으로 하며, 합법적인 트래픽을 악성 사이트로 리디렉션하는 사회 공학 전문가인 "트래퍼(traffer)"를 활용하는 경우가 많습니다. 피싱
감염 사슬:
공격 전술 및 접근 방식:
가짜 회사 사칭: 공격자들은 "ChainSeeker.io"와 같은 가짜 사업체를 설립하여 LinkedIn, X(구 Twitter) 등의 플랫폼에서 전문 웹사이트와 활발한 소셜 미디어 계정을 운영합니다. LinkedIn, Well-found, Crypto Jobs List와 같은 평판 좋은 구인 게시판에 고품질 구인 광고를 게재하여 의심하지 않는 지원자들을 유인합니다.
소셜 미디어 플랫폼을 통한 구인 광고:
피싱 커뮤니케이션: 관심 있는 지원자가 소셜 미디어를 통해 채용 공고에 응답할 때마다 최고 마케팅 책임자(CMO)나 최고 재무 책임자(CFO)와 같은 회사 고위 임원과의 우편 면접 초대 이메일을 받습니다. 이후 대화는 텔레그램으로 전환되고, 사칭된 CMO/CFO가 추가 안내를 제공합니다.
게시된 직무에 지원한 후 받은 메일:
대화가 Telegram으로 전환되고, 지원자는 Calendly를 사용하여 전화 통화 일정을 예약하고 적합한 시간대를 선택할 수 있습니다.
지원자가 선택한 기간 내에 전화 면접 일정을 예약하면 CMO 또는 CFO가 사전에 지원자에게 연락하여 추가 세부 정보를 제공합니다.
통화 직전에 CFO/CMO가 후보자에게 연락하여 공유 암호로 통화에 참여하도록 했습니다.
악성 소프트웨어 배포: 가짜 CMO는 지원자들에게 특정 웹사이트(예: "grasscall[.]net")에서 "GrassCall"이라는 화상 회의 애플리케이션을 다운로드하도록 유도합니다. 다운로드에 접근하려면 Telegram 대화 중에 제공된 코드가 필요합니다. 웹사이트는 방문자의 운영체제를 감지하고 해당 악성 클라이언트를 제공합니다.
최근 진행 중인 조사에서 적대자가 자사 플랫폼을 https://vibecall[.]app/으로 리브랜딩했다는 사실을 확인했습니다.
후보자가 회의에 참여하기 위해 비밀번호를 입력하면 GrassCall.exe가 OS에 따라 다운로드됩니다.
Windows 사용자: "GrassCall.exe"를 설치하면 Rhadamanthys와 같은 정보 유출 프로그램과 결합된 원격 액세스 트로이 목마(RAT)가 배포됩니다. 이러한 악성 도구를 통해 공격자는 지속적인 접근을 유지하고, 키 입력을 기록하고, 암호화폐 지갑 자격 증명을 포함한 민감한 데이터를 추출할 수 있습니다.
Mac 사용자: "GrassCall_v.6.10.dmg"를 설치하면 macOS 기기에서 기밀 데이터를 수집하도록 특별히 설계된 도구인 Atomic macOS Stealer(AMOS)가 활성화됩니다.
GrassCall.exe/VibeCall.exe에 대한 기술적 분석:
VibeCall.exe는 설치 프로그램 역할을 하지만 악성코드가 포함된 64비트 실행 파일입니다. 실행 시 Rhadamanthys 맬웨어를 설치하고 배포하려고 시도합니다. Rhadamanthys는 로그인 정보, 재무 정보, 시스템 정보 등 민감한 데이터를 수집하도록 설계된 정교한 정보 유출 트로이 목마입니다.
실행 시 Add-MpPreference 명령을 실행하여 Microsoft Defender에 제외 경로를 추가합니다. 구체적으로, 전체 경로를 제외합니다. C: 드라이브로 인해 Defender가 해당 드라이브의 모든 파일과 폴더를 완전히 우회하게 됩니다. C: 검사 중에 발생합니다. 이렇게 하면 제외된 드라이브 내에서 발생하는 악성 활동을 탐지하거나 대응하는 Defender의 기능이 사실상 비활성화됩니다.
여러 개의 Rhadamanthys를 다운로드하려고 합니다. 악성 코드 샘플을 만들고 실행해 봅니다.
hxxp[:]//rustaisolutionnorisk[.]com/downloads/contry_solution_vibecall_e.exe 4b371777c2c638c97b818057ba4b0a2de246479776eaaacebccf41f467bb93c3
hxxp[:]//rustaisolutionnorisk[.]com/downloads/aisolution_vibecall_a.exe f2e8f1f72abbc42f96c5599b8f27f620d91ae1680aa14b4f0bbf3daabd7bee30
hxxp[:]//rustaisolutionnorisk[.]com/downloads/soundsolution_vibecall_c.exe d23f79f9b7e1872d4671a18aa85b810c0cec2e0f5ce07c2cf99ed39f8936c8fb
hxxp[:]//rustaisolutionnorisk[.]com/downloads/videosolution_vibecall_b.exe 386b61ccdd4b785c835a064179d5fa58dc0d5fe34970a04487968e1ee0189ce6
다운로드한 샘플을 삭제합니다. C:/사용자/사용자/서류 폴더를 찾아서 실행하려고 합니다.
Rhadamanthys 맬웨어 분석
위의 Rhadamanthys 맬웨어(videosolution_vibecall_b.exe) 중 하나를 분석한 결과, 셸코드가 포함된 32비트 압축 샘플임을 발견했습니다.
짐을 풀다가 2개를 발견했습니다.nd 아래 그림에 표시된 Rhadamanthys 맬웨어의 페이로드.
2nd Payload
sha256: 0160c14c3d84dcc5802a329a4d4bedcabd23b3a7761c1cd95d16bd0b7a7bb8eb
두 번째 페이로드에는 명령 및 제어(C2) 서버와의 연결을 시도하는 구성 파일이 포함되어 있습니다. 연결은 다음 URL로 전달됩니다.
hxxps://45.129.185.24:1896/22c0d31ace677b/digpu6k5.xditc
TTPS:
| T1566.002 | 피싱: 스피어피싱 링크 |
| T1071.001 | 애플리케이션 계층 프로토콜: 웹 프로토콜 |
| T1102.001 | 웹 서비스: 소셜 미디어 |
| T1199 | 신뢰할 수 있는 관계 |
| T1105 | 인그레스 도구 전송 |
| T1059.001 | 명령 및 스크립팅 인터프리터: PowerShell/Windows 명령 셸 |
| T1204.002 | 사용자 실행: 악성 파일 |
| T1547.001 | 부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키/시작 폴더 |
| T1056.001 | 입력 캡처: 키로깅 |
| T1567 | 웹 서비스를 통한 유출 |
| T1566.001 | 피싱: 스피어피싱 첨부 파일 |
예방 조치:
- 취업 기회 확인: 채용 기회와 이를 제공하는 회사의 진위 여부를 항상 확인하세요. 채용 관련 커뮤니케이션은 공식적이고 검증된 채널을 통해 검증하세요.
- 다운로드 시 주의하세요: 특히 요청하지 않은 상호작용의 일환으로 요청된 경우 알 수 없거나 검증되지 않은 출처의 소프트웨어를 설치하지 마십시오.
- 신뢰할 수 있는 보안 도구 설치: 신뢰할 수 있는 바이러스 백신 및 맬웨어 방지 소프트웨어를 활용하여 시스템을 보호하십시오. 위협.
- 정기적인 시스템 점검을 실시하세요: 기기를 자주 검사하여 맬웨어나 기타 잠재적으로 유해한 파일을 감지하고 제거하세요.
탐지 기능이 있는 IoC:
| 사진이름 | 해시 | Seqrite에서의 감지 |
| 바이브콜.exe | b63367bd7da5aad9afef5e7531cac4561c8a671fd2270ade14640cf03849bf52 | Trojan.GrassCallCiR |
| 비디오솔루션_바이브콜_b.exe | 386b61ccdd4b785c835a064179d5fa58dc0d5fe34970a04487968e1ee0189ce6 | 트로이 목마.라다만스.S35275351 |
| contry_solution_vibecall_e.exe | 4b371777c2c638c97b818057ba4b0a2de246479776eaaacebccf41f467bb93c3 | 트로이 목마.라다만스.S35275351 |
| aisolution_vibecall_a.exe | f2e8f1f72abbc42f96c5599b8f27f620d91ae1680aa14b4f0bbf3daabd7bee30 | 트로이 목마.라다만스.S35275351 |
저자:
소우멘 버마
딕시트 아쇼크바이 판찰
