상세 컨텐츠

본문 제목

Astaroth 스파이 트로이목마, 추적 피하기 위해 페이스북과 유튜브 사용해

국내외 보안동향

by 알약(Alyac) 2019. 9. 17. 15:44

본문

Astaroth Spy Trojan Uses Facebook, YouTube Profiles to Cover Tracks


인포스틸러는 일반적으로 이메일, 엔드포인트, 네트워크 보안 장치를 우회하기 위해 정식 서비스를 활용합니다.


이번에 발견된 피싱 캠페인은 Astaroth 트로이목마를 확산시키고 안티 바이러스 제품을 우회하기 위해 페이스북과 유튜브 프로필을 악용하고 있는 것으로 나타났습니다.


공격자는 악성 행위를 숨기기 위해 일반적으로 신뢰 있는 출처를 사용합니다. 이를 통해 스팸 장비 및 네트워크 보안 장비를 우회할 수 있기 때문입니다.


이번에 발견된 캠페인은 ".HTM" 파일로부터 시작됩니다. 그리고 메일의 내용으로는 인보이스, 공연 티켓, 민사 소송으로 이루어진 3가지 테마를 사용하고 있습니다.


타깃이 메일의 첨부파일을 클릭하면, ".HTM" 파일은 악성 ".LNK" 파일을 포함한 ".ZIP" 아카이브를 다운로드합니다. 


그 후 ".LNK" 파일은 Cloudflare worker 도메인으로부터 자바스크립트 코드를 다운로드하며, Astaroth 인포 스틸러의 샘플을 난독화하고 실행을 돕는 파일들을 다운로드합니다.


이 악성 파일들 중 두 가지 ".DLL" 파일이 결합되어 ‘C:\Program Files\Internet Explorer\ExtExport.exe'라는 정식 프로그램에 사이드로드(side-loaded) 됩니다.


위와 같은 방법을 사용하면 안티 바이러스 애플리케이션 화이트리스팅, URL 필터링과 같은 보안 장치를 우회할 수 있습니다.


ExtExport.exe에 악성코드가 사이드로드된 채 실행되면, 이 악성 스크립트는 프로세스 할로잉(process hollowing)이라는 기법을 사용해 정식 프로그램을 더욱 악의적인 코드로 감염시킵니다.


Process Hollowing

정상적인 프로세스를 생성하고, 생성한 프로세스에 악성PE 데이터를 삽입하여 실행하는 기법


프로세스 할로잉은 이전 자바스크립트가 다운로드한 파일로부터 받은 악성코드를 주입하는데 사용됩니다.


신뢰할 수 있는 프로그램의 프로세스가 비워진 후 악성코드로 채워지면, Astaroth는 외부의 신뢰할 수 있는 출처로부터 C2 설정 데이터를 받습니다.


Astaroth는 유튜브와 페이스북 프로필을 이용해 C2 설정 데이터를 호스팅 및 관리합니다. 이 C2 데이터는 base64 및 커스텀 암호화가 걸려있습니다.


공격자는 이와 같이 신뢰할 수 있는 출처에 C2 데이터를 호스팅하여 콘텐츠 필터링과 같은 네트워크 보안 장치를 우회합니다. 


또한 신뢰할 수 있는 출처의 콘텐츠를 동적으로 변경해 공격자의 인프라가 중단되는 것도 막을 수 있습니다.


Astaroth는 금융 정보, 브라우저에 저장된 패스워드, 이메일 클라이언트 크리덴셜, SSH 크리덴셜 등을 수집합니다.


그리고 HTTPS POST를 통해 또 다른 정식 서비스인 Appspot에서 호스팅되는 사이트로 수집한 데이터를 전송합니다.


브라질 사용자들을 공격하는 Astaroth


전문가들은 포르투갈어로 작성된 이메일과 지오펜스(geofence)가 브라질로 설정되어 있는 초기 ".ZIP" 파일을 통해 Astaroth 캠페인이 브라질 사용자들을 노리고 있다고 밝혔습니다.


프로세스 할로잉 공격의 타깃이 된 합법적인 프로그램들은 unins000.exe, svchost.exe, userinit.exe로 unins000.exe 프로그램은 브라질 온라인 뱅킹에 가장 많이 사용되는 보안 프로그램입니다.


하지만 공격자들이 이 전략으로 다른 지역을 공격하지 않을 이유는 없습니다. 지난 여름, 유럽에서 발생한 ".LNK"를 사용한 파일리스 캠페인에서도 이 전략이 사용되었습니다. 


전문가들은 Astaroth 활동을 정식 서비스로 난독화하는 방식을 앞으로 예의주시할 필요가 있다고 밝혔습니다.


현재 알약에서는 해당 악성코드에 대해 'JS:Trojan.Cryxos.2293'으로 탐지 중에 있습니다.





출처:

https://threatpost.com/astaroth-spy-trojan-facebook-youtube/148327/

https://cofense.com/astaroth-uses-facebook-youtube-within-infection-chain/

저작자표시

'국내외 보안동향' 카테고리의 다른 글

Skidmap 리눅스 마이너, 백신 탐지 피하기 위해 커널 모드 루트킷 사용해  (0) 2019.09.19
TFlower 랜섬웨어 – 기업을 노리는 최신 공격  (0) 2019.09.18
가상화폐 지갑에서 돈을 훔치는 InnfiRAT 트로이목마 발견  (0) 2019.09.16
D-Link와 Comba WiFi 라우터 일부, 비밀번호 평문 상태로 유출해  (0) 2019.09.11
은밀히 데이터를 추출하기 위해 윈도우 BITS 서비스를 사용하는 악성코드 발견  (0) 2019.09.10

관련글 더보기

댓글 영역

티스토리툴바