S/W 크랙으로 위장한채 유포되는 Redline Stealer

안랩 ASEC 분석팀은 기존의 블로그 포스팅을 통해 상용 소프트웨어의 Crack, Serial 등의 키워드로 검색되는 악성 사이트로부터 유포되는 악성코드에 대하여 언급하며 사용자의 주의를 당부하였다.

최근 한 기업의 내부 망 침해 사고 조사에서 상용 소프트웨어의 Crack으로 위장한 Redline Stealer 악성코드에 감염되어 기업의 VPN 사이트와 계정 정보가 유출된 사실을 확인했다.

피해 기업에서는 재택 근무 중에 사내 망에 접근할 수 있도록 VPN 서비스를 제공하고 있었으며, 해당 기업의 직원들은 지급된 노트북 또는 개인 PC로 VPN 연결 후 업무를 수행했다. 피해 직원은 웹 브라우저에서 제공하는 비밀번호 관리 기능을 이용해 VPN 사이트에 대한 계정/패스워드를 웹 브라우저에 저장하고 사용했다. 그러던 중 계정 정보를 노리는 악성코드에 감염돼 다수의 사이트 계정과 패스워드가 유출됐으며, 이 중에는 기업의 VPN 계정도 포함돼 있었다.

계정 정보가 유출된 시스템은 직원의 개인 PC로 업무용 외에 가족 구성원과 함께 사용하는 PC이다. 악성 파일 감염은 가족 구성원이 음정 보정 프로그램인 Waves 사의 SoundShifter 소프트웨어의 free, crack 키워드를 검색하여 악성 파일이 포함된 waves_60e87ffe7200b.zip 압축 파일을 다운로드 받았으며, 압축 파일 내부의 악성 파일을 실행하여 침해됐다.

[그림1] 악성 파일 감염 과정

웹 브라우저 이용 기록에서 waves soundshifter free, waves soundshifter crack 키워드를 검색한 이력을 확인했다.

[그림2] 웹 브라우저에서 불법 소프트웨어 검색 흔적

동일한 키워드를 구글에 검색할 경우 다양한 경로의 다운로드 사이트들이 검색 결과로 보여진다.

[그림3] Google의 waves soundshifter crack 검색결과

사용자는 구글의 검색 결과에 노출된 여러 페이지를 방문한 것으로 보인다.

[그림4] 구글 검색 결과에 노출된 사이트 방문 이력

이후 파일 다운로드 흔적이 발견됐다. 해당 경로를 방문한 과정은 확인되지 않아 검색 결과에 노출된 악성 페이지에 직접 접근한 것으로 추정되나 현재 검색 결과에서는 확인되지 않는다.

[그림5] 불법 소프트웨어 다운로드 흔적

다운로드된 파일은 압축파일로 내부에 암호화된 압축 파일과 암호 압축 파일의 패스워드가 적힌 TXT파일이 포함돼 있다. 이러한 방식은 파일 다운로드 시 보안 제품에 탐지 되는 것을 우회하기 위해 공격자들이 사용하는 방식이다.

[그림6] 다운로드 받은(waves_60e87ffe7200b.zip) 압축 파일 내부 구조

사용자는 프로그램을 설치할 목적으로 파일을 다운로드한 것이므로, TXT 파일의 설명에 따라 암호화된 압축 파일을 해제하고, 설치 파일로 위장된 악성 파일을 실행했을 것이다. 압축이 해제된 설치 파일은 다수의 악성 파일이 내장된 형태로, 설치 시 Danabot, Redline Stealer, Vidar 계열의 악성 파일이 시스템에 생성된다. 시스템에서 발견된 악성 파일과 파일 경로, 파일명 등 관련 아티팩트를 분석한 결과 비슷한 시기에 유포된 유사한 사례들을 확인할 수 있었다.

유사한 사례들 또한 상용 소프트웨어의 크랙, 키젠 등 불법 프로그램의 설치 파일로 위장해 파일 공유 사이트에 업로드 되어 유포됐다. 확인된 유사 악성 파일 중 2021년 6월 Keygen 공유 사이트(topkeygen.com)에서 유포된 악성 파일의 분석 내용과 개인 PC에 생성된 악성 파일의 폴더 경로, 폴더명, 악성 파일의 명명 규칙, 파일 생성 순서 등 다수의 행위가 일치했다.

이 중 파일 생성 위치에 대한 유사점은 다음 그림과 같다.

[그림7] 침해된 개인 PC와 topkeygen 사이트에서 유포된 악성 파일의 파일 생성 위치에 대한 유사점

악성 파일이 실행된 이후 침해된 개인 PC에서 cio.exe.com, orrore.exe.com, certe.exe.com 등 의심스러운 파일의 실행 흔적이 발견됐으나 해당 파일들은 실행 후 삭제되어 파일을 확보할 수는 없었다. 하지만 시스템에서 확인된 흔적들이 RedLine Stealer 계열의 악성 파일 감염 시스템에서 나타나는 것과 유사한 점으로 보아 해당 파일들은 RedLine Stealer 계열의 악성 파일로 판단된다.

시스템에서 확인된 Redline Stealer 악성 파일 감염 의심 흔적

  • findstr.exe 사용
  • 7Zip SFX 압축파일 사용 (경로: %Temp%\7ZipSfx.000\)
  • 악성 파일명 (cio.exe.com)
  • 이중 파일 확장자의 사용 (.exe.com)
  • 웹 브라우저 크리덴셜 정보 스캔, 수집 활동 (Chrome, Edge 브라우저의 Login Data, Cookies, Web Data)

웹 브라우저 크리덴셜 정보 스캔 행위는 마이크로소프트 Windows Defender의 로그 파일인 MPLog에서 7월 10일 Orrore.exe.com가 웹 브라우저의 계정/패스워드가 기록된 Login Data 파일을 스캔한 흔적이 발견됐다.

[그림8] Orrore.exe.com이 Login Data에 접근한 흔적(MPLog-20210710-015710.log)

Redline Stealer 악성 파일에 의해 웹사이트에 저장된 계정 정보가 유출됐으며, 유출된 계정 목록에 기업의 VPN 사이트와 계정/패스워드 정보가 포함돼 있었다.

[그림9] Login Data에 저장된 VPN 사이트와 계정 패스워드 정보

유출된 계정은 수 개월 뒤 조직의 내부 망 침해에 사용됐다.

[IOC 정보]

침해된 시스템에서는 Redline Stealer 악성 코드로 판단할 수 있는 흔적들은 확인됐으며, 악성 파일은 삭제되어 악성 파일의 Hash는 확보할 수 없었다. 

cio.exe.com
orrore.exe.com
certe.exe.com
18.188.253.6

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments