비정상적 인증서를 가진 정보탈취 악성코드 유포 중

최근 비정상적인 인증서를 사용한 악성코드가 다수 유포되고 있다.

악성코드는 통상 정상 인증서로 위장하는 경우가 많지만, 해당 악성코드는 인증서 정보를 무작위로 입력하였으며 그중 Subject Name 항목과 Issuer Name 항목은 비정상적으로 문자열 길이를 길게 하였다.

때문에 윈도우 운영체제 상에서는 인증서 정보가 보이지 않으며 특정 툴 혹은 인프라를 통해야 해당 인증서 구조를 확인 가능하다.

물론 인증서가 올바르지 않기 때문에 서명 검증에 실패하며, 서명 기능으로서의 이점은 가질 수 없다. 하지만 서명 문자열을 살펴보면 일반적인 영문 문자열 구조가 아닌 아랍어, 일본어 등의 비영문 언어와 특수문자, 문장부호 등을 사용한다는 특징이 있다. 또한 비슷한 유형의 샘플이 조금씩 구조를 바꾸어가며 두 달 넘게 유포가 지속 중이기 때문에 특정한 의도가 있어 보인다.

현재 유포 중인 최신 샘플(그림 1 의 우측 하단)은 악성 스크립트를 URL 인코딩한 문자열로 구성되어 있다. 해당 스크립트는 특정 주소에서 파워쉘 명령어를 다운받아 실행되도록 구성된 스크립트지만 현재 정상적으로 다운로드 되지 않았다. 이 스크립트는 감염 과정에서 실제로 실행되지는 않는다.

이러한 독특한 외형으로 유포 중인 악성코드로는 LummaC2, RecordBreaker 두 종류가 주로 확인된다. 두 가지 악성코드 모두 다양한 악성 행위를 수행할 수 있지만 기본적으로 정보탈취의 성격이 강한 악성코드이다.

감염 시 브라우저 저장 계정 정보, 문서, 가상화폐 지갑 파일 등 사용자의 민감 정보가 공격자에 전송되어 심각한 2차 피해를 야기할 수 있으며, 공격자가 지정한 추가 악성코드가 설치되어 지속적으로 악성 행위를 수행할 수 있다.

이러한 부류의 악성코드는 검색 엔진을 통해(SEO poisoning) 쉽게 접근 가능한 악성 페이지에서 유포되므로, 불특정 다수의 사용자에게 위협이 된다. 악성 페이지는 주로 시리얼, 키젠, 크랙 등의 불법 프로그램을 키워드로 구성되어 있다.

RecordBreaker

RecoreBreaker 악성코드는 Raccoon Stealer V2 로도 알려져 있으며 위의 유포 방식 외에도 유튜브, 타 악성코드 등을 통해 활발하게 유포 중인 악성코드이다. 특징으로 C2 접속 시의 User-Agent 값으로 의미 있는 문장을 사용하며 주기적으로 변경하는데, 최근 유포 샘플은 “GeekingToTheMoon” 문자열을 사용한다. 기능적으로는 기존 작성된 포스팅에서 크게 달라지지 않았다.

• .NET 설치 파일로 위장한 RecordBreaker 정보탈취 악성코드
• 국내 유명 소프트웨어로 위장한 RecordBreaker 정보탈취 악성코드
• 해킹된 유튜브 계정으로 유포 중인 RecordBreaker 스틸러

LummaC2

LummaC2는 본문의 방식으로 유포되는 악성코드 중 가장 변형이 활발한 악성코드이다.

초기 샘플은 악성코드 자체에 악성 행위에 대한 설정 정보가 내장되어 있었지만, C2를 통해 설정 정보를 다운받아 악성 행위 수행하는 방식으로 변경되었으며, 단순 정보 탈취 행위만이 아닌 Amadey, Clipbanker 등의 추가 악성코드를 설치하도록 변형되었다.

초기 유포 샘플에 대한 정보는 아래 포스팅에 기술되어 있다. 이후 변형을 간단하게 정리하자면 다음과 같다.

• 신종 정보 탈취 악성코드 LummaC2, 불법 크랙 위장 유포

-C2 통신 방식 변경

초기 샘플은 설정 정보가 내장되어 있었으므로 실행 시 바로 정보수집 행위 후 “/c2sock” 주소로 전송하였다.

이후 변형 샘플은 “/c2conf” 주소에서 설정 정보를 다운로드 받아 “/c2sock” 주소로 전송하였다.

최근 유포 중인 샘플들은 설정 다운로드와 정보 전송 모두 “/api” 주소를 사용한다. 따라서 C2 접속 시의 POST 파라미터를 통해 설정 쿼리 접속과 정보 전송 접속을 구분하고 있다.

이러한 굵직한 변형이 있을 때마다 실행 초기 C2로 전송하는 “ver” 파라미터가 1씩 증가하였다. 현재 버전은 4.0 이다.

C2 주소의 최상위 도메인(TLD)으로 오랜 기간 동안 “.xyz”를 사용하다가 현재 “.fun”을 사용 중이다.

-추가 악성코드 다운로드

이전 샘플들은 단순히 정보 탈취 행위 후 종료되었지만 이후 Amadey 악성코드를 설치하기 시작하였고, 최근엔 Amadey와 Clipbanker 악성코드까지 설치하고 있다.

Amadey는 다운로더형 악성코드로 C2 통신을 통해 공격자가 원하는 악성코드를 설치할 수 있으며, 경우에 따라 추가 모듈을 통해 정보 탈취 행위까지 수행할 수 있다. ClipBanker는 클립보드를 모니터링하며 암호 화폐 지갑 주소가 복사될 경우 공격자의 주소로 변경하는 악성코드이다.

LummaC2는 정보 탈취 및 추가 악성코드 설치 후 종료되지만, 추가 설치된 악성코드는 사용자 시스템에 상주하며 지속적으로 C2 통신(명령 대기)이나 지갑 주소 변조 행위를 수행할 수 있다.

이렇듯 불특정 사용자를 대상으로 정보 탈취형 악성코드가 활발하게 유포되며 꾸준히 진화하고 있으므로 사용자의 주의가 필요하다.

한편 Ahnlab 제품군은 이러한 비정상적 인증서 구조를 진단 중이며, 본문과 같이 유포되는 샘플류에 대하여 자동 수집 시스템을 운용하며 변형 발생에 빠르게 대응하고 관련된 C2를 차단하고 있다.

[진단명]

• Suspicious/Win.MalPe.X2197 (2023.09.14.00)
• Infostealer/Win.LummaC2.C5482988(2023.09.08.01)
• Infostealer/Win.LummaC2.C5483329(2023.09.08.02)
• Trojan/Win.LummaC2.C5483331(2023.09.08.02)
• Trojan/Win.LummaC2.C5483376(2023.09.08.03)
• Trojan/Win.AGent.C5483377(2023.09.08.03)
• Trojan/Win.Evo-gen.C5481062(2023.09.04.02)
• Trojan/Win.RecordStealer.R604279(2023.09.08.03)
• Trojan/Win.RecordStealer.R604282(2023.09.08.03)
• Infostealer/Win.Agent.C5475457(2023.08.24.03)
• Trojan/Win.LummaC2.R606862(2023.09.23.00)
• Trojan/Win.MSIL.C5475827(2023.08.25.03)
• Trojan/Win.Injection.C5472888(2023.08.19.01)
• Infostealer/Win.LummaC2.C5474761(2023.08.23.00)
• Trojan/Win.Injection.C5472889(2023.08.19.01)
• Trojan/Win.PWSX-gen.C5469716(2023.08.12.00)
• Trojan/Win.Injection.C5468781(2023.08.10.01)
• Trojan/Win.Injection.C5468508(2023.08.09.02)
• Downloader/Win.Amadey.R596666(2023.08.11.00)
• Trojan/Win.Generic.R596332(2023.08.09.00)
• Trojan/Win.Injection.C5467711(2023.08.07.01)
• Trojan/Win.Injection.C5467418(2023.08.06.01)
• Infostealer/Win.LummaC2.C5467423(2023.08.06.01)
• Downloader/Win.StealWallet.R596060(2023.08.07.03)
• Infostealer/Win.LummaC2.C5466555(2023.08.04.02)

[IOC 정보]

eae39f18a51c151601eaf430245d3cb4
3c39098b93eb02c664d09e0f94736d95
89644b879046b97dccf71c68c88bcf42
bb2147e536ba06511ca8ea0b43a38ef7
e584f749b3b06d328001f0dea7a45617
331c7d351bc39efb36fd53c74c12c3a5
d8518e4fcbdbcc056a72a495430f37b6
2667f726136c0c848b30ec93cbd488b7
a0caecafa32e88f363942945f759b799
5dfe53ca9cd218a0ed129ebecc107cf0
7ed43c0f2093707f65369ad87832599c
dabe6f3ac23858a353c53382f92a217b
fa371f301369b16a7a379008cc1b4f64
6b5ad8f456dc6704638d5b3e38135a2b
dbee35748bd993f3bd4a822d362f309d
331031e51a9816db6aa48a7dcff41c28
32b4703cc03286e610094704925ca5e4
e5f82461f276bfb9150ab253b3474aa1
e6facedba218387d24d6908a59f1730b
8329b54e5b8921825579c3eae37ee8b4
6260a3ea150744248ed0a155d079d2c8
a998f8d64d6953e1fdaafba655c84120
cbc06399af416c6b5a5aec73890a15a1
613425d8623f118e45fb65619f71c387
5d2359723a3acac158320a48f1930e08
05ab72ab29765fa803a9a88e940cc826
b484fdc3953f4d84e24ba8dd309accf2
7974df61d5906ca20e146c1b8b8b3aaa
0970196d074cbf7221f5be8208c7cba3
63a0789d8bfa599da31a7620947d7a24
d8b5732afb4897035043ea05ad84f928
a82d9b679c0df2a62939ee21939e7e7a
4cf108debe0314357431525f01376a56
de9cb5f942d9f73a1a5659172372b099
aa4fb8876b89288a015fbf945da98d87
b64c3663718228679df20e9282727110
0ece25acd98b2cd0beebd20d3fc11fd1

[C2]

• RecordBreaker
  hxxp://49.13.59.137/
  hxxp://95.216.166.188/
  hxxp://49.13.51.185/

• LummaC2
  blockigro.xyz
  programmbox.xyz
  cvadrobox.xyz
  stormwumen.xyz
  fullppc.xyz
  holdbox.xyz
  scoollovers.xyz
  beerword.xyz
  fisholl.xyz
  survviv.xyz
  checkgoods.xyz
  singlesfree.xyz
  acexoss.xyz
  freeace.xyz
  glowesbrons.xyz
  usdseancer.xyz
  phonevronlene.xyz
  seobrokerstv.xyz
  reconphotocolor.xyz
  sonyabest.xyz
  seobrokerstv.fun
  welcometv.fun
  equestrianjumpingfrog.fun
  seededraisinlilinglov.fun
  gougeflying.fun

• 추가 악성코드 다운로드
  hxxp://imagebengalnews.com/amday.exe
  hxxp://enfantfoundation.com/amday.exe
  hxxp://vbglimited.com/Amdays.exe
  hxxp://moshito-marketing.com/Amda.exe
  hxxp://sms.vbglimited.com/Amda.exe
  hxxp://lungalungaenergyltd.co.ke/Adayn.exe
  hxxp://vrecepte.com.ua/Blazerstreetavenu.exe
  hxxp://erp.fastgas.co.ke/Bitmodertorent.exe
  hxxp://marrakechfolkloredays.com/clips.exe
  hxxp://africatechs.com/55aa5e.exe
  hxxp://rusticironstore.com/clip.exe
  hxxp://tinsignsnmore.com/5ea275.exe
  hxxp://ezisystem.com/clip.exe
  hxxp://portmarine.co.tz/5ea275.exe
  hxxp://mediterraneanshippingllc.com/clip.exe
  hxxp://toolstechs.com/5ea275.exe
  hxxp://justentertainer.us/5ea275.exe