스팸 메일을 통해 유포 중인 호크아이 (HawkEye) 키로거

HawkEye 키로거는 주로 스팸 메일을 통해 유포되는 정보 탈취 악성코드이다. 최근에는 AgentTesla, Formbook, Lokibot이 이러한 유형의 대부분을 차지하고 있지만, 얼마전까지만 해도 HawkEye는 이러한 악성코드들만큼 대량으로 유포되었다.

최근들어 HawkEye의 유포가 많이 줄어들긴 했지만, 그럼에도 불구하고 올해도 꾸준히 일정한 비율의 HakEye 악성코드가 확인되고 있다. 유포 방식은 동일하게 스팸 메일의 첨부 파일을 통한 유포 방식이 대부분인 것으로 추정된다.

다음은 2월과 3월경에 국내 사용자를 대상으로 유포된 스팸 메일들이다.

2021년 2월 확인된 스팸 메일
2021년 3월 확인된 스팸 메일

이렇게 직접적으로 EML 파일이 수집되지는 않더라도, 접수된 파일명으로 확인해 봤을 때도 대부분 스팸 메일의 첨부 파일명으로 추정되는 파일명들이 대부분이다.

– Payment_Advice_GLV225445686.exe
– POinv00393.exe
– 0M5389847667355_030420210000.PDF.exe
– K409476485-03032021B.pdf.exe
– x3984776490246720210313.PDF.exe
– s779800_02102021.PDF.exe

HawkEye의 정보 탈취 대상을 보자면 기본적인 시스템 정보들 외에도 웹 브라우저, 이메일 클라이언트 등에 대한 계정 정보들이 있다. 또한 코인 지갑 파일이나 마인크래프트 계정 정보 파일도 그 대상으로 한다. 참고로 대부분 과거 버전의 응용 프로그램들을 대상으로 하며 최신 버전의 프로그램들에서는 정상적으로 동작하지 않을 수 있다. 이외에도 키로깅, 클립보드 로깅 및 스크린샷 캡쳐를 탈취하는 기능들이 존재한다.

HawkEye는 내부에 NirSoft 사의 WebBrowserPassView와 Mail PassView 프로그램을 포함하고 있다. 이 프로그램들은 각각 웹 브라우저에 저장되어 있는 계정 정보와, 이메일 클라이언트에 저장되어 있는 계정 정보를 추출해 보여주는 툴이다. 아래의 버전 정보를 보면 2013년경에 제작된 버전이며 이는 HawkEye 자체가 과거에 개발되었기 때문에 해당 시점의 버전이 포함된 것으로 추정된다.

비밀번호 복구 툴

NirSoft의 계정정보 추출 툴들은 과거 “/stext”라면 커맨드라인 옵션을 제공하였다. 더블 클릭으로 WebBrowserPassView를 실행시키면 GUI 화면을 보여주지만, “/stext” 옵션과 함께 복구된 비밀번호를 저장할 텍스트 파일의 경로를 주면 사용자의 인지 없이 즉 GUI 화면 없이 사용할 수 있다. HawkEye는 이를 악용하여 직접 계정 정보 탈취 루틴을 구현하지 않고 기존에 존재하는 유틸리티를 활용한다. 참고로 이러한 악용 사례가 존재하기 때문인지 최신 버전에서는 이러한 옵션을 지원하지 않고 있다.

HawkEye는 WebBrowserPassView와 Mail PassView를 직접 실행하지 않고 정상 프로그램인 vbc.exe를 실행한 후 여기에 해당 툴들을 인젝션하는 방식으로 실행시킨다. 다음 프로세스 트리를 보면 vbc.exe 실행 시 (내부에는 계정 정보 추출 툴이 동작) 웹 브라우저의 계정 정보는 “holderwb.txt” 파일로, 메일 클라이언트의 계정 정보는 “holdermail.txt” 파일로 저장하는 것을 볼 수 있다. 이후 이렇게 생성된 텍스트 파일을 읽어 C&C 서버에 전달한다.

자사 RAPIT(악성코드 자동분석 인프라)에서 확인되는 프로세스 트리

HawkEye는 오랜전부터 존재하던 악성코드이기 때문에 웹 브라우저나 다른 응용 프로그램들에 대한 계정 정보 탈취 기능이 최신 버전을 사용하는 환경에서는 동작하지 않을 수 있다. 위의 WebBrowserPassView와 Mail PassView 사례만 보더라도 2013년 버전이기 때문에 최신 버전의 웹 브라우저와 이메일 클라이언트 프로그램에서는 정상적으로 동작하지 않을 수 있다. 하지만 오래된 악성코드라고 하더라도 키로깅이라던지 클립보드, 스크린샷 로깅과 같은 기능들은 버전과 관련없이 정상적으로 동작하기 때문에 사용자의 정보를 탈취하는 것에는 변함이 없다.

탈취한 정보를 공격자에게 전달하는 방식은 3가지를 지원한다. 하나는 AgentTesla, SnakeKeylogger에서 자주 사용되는 SMTP 즉 메일을 통한 방식이며, 다른 하나는 FTP를 이용해 파일을 업로드하는 방식, 마지막으로 HTTP를 이용하는 방식이 있다.

C&C 주소 디코딩 루틴

Snake Keylogger 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
– Trojan/Win.Kryptik.R371540 ( 2021.03.12.02)

[행위 진단]
– Malware/MDP.Behavior.M3034
– Malware/MDP.Behavior.M3108

[IOC]
파일
– 2c0ac98447900d73b389c073e6ed1067

C&C
– SMTP
Smtp 서버 : smtp.yandex[.]ru
User : festus.vinco@yandex[.]ru
Pass : kingdomm***A12
– FTP
Ftp 서버 : ftp.triplelink.co[.]th
User : Loggsszzzxxx@triplelink.co[.]th
Pass : xpe***0

Categories:악성코드 정보

Tagged as:, ,

5 1 vote
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments