TinyNuke 인포 스틸링 악성코드, 프랑스 사용자들 노려

TinyNuke info-stealing malware is again attacking French users

 

인포 스틸링 악성코드인 TinyNuke가 프랑스 사용자들을 노리는 새로운 캠페인을 통해 재등장했습니다. 이들은 제조, 기술, 건설, 비즈니스 서비스의 개인 및 회사 이메일 주소로 인보이스로 위장한 피싱 이메일을 전송했습니다.

 

이 캠페인의 목표는 크리덴셜 및 기타 개인 정보를 훔치고 해킹된 시스템에 추가 페이로드를 설치하는 것입니다.

 

 

TinyNuke의 재등장

 

 

TinyNuke 악성코드는 2017년에 처음 발견되어 2018년 정점에 이르렀다가 2019년에 크게 감소했으며 2020년에는 거의 사라졌습니다.

 

 

<출처 : https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities>

<연간 캠페인 수>

 

 

해당 캠페인을 분석한 Proofpoint의 연구원은 이 악성코드가 두 세트로 이루어진 별도의 C2 인프라, 페이로드, 미끼 테마를 사용한다고 밝혔습니다.

 

이것은 또한 악성코드가 초기 TinyNuke와 관련된 공격자, 상용 툴을 사용하는 공격자로 나뉘어 짐을 나타냅니다.

 

합법적인 사이트에서 호스팅되는 페이로드

 

 공격자는 페이로드 URL을 호스팅하기 위해 합법적인 프랑스 웹사이트를 해킹하고, 실행 파일은 무해한 소프트웨어로 숨깁니다.

 

 

<출처 : https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities>

<최근 TinyNuke 캠페인에 대한 침해 지표>

 

 

이 최근 캠페인은 C2 통신을 위해 2018년부터 사용된 것과 동일한 방식인 Tor를 사용합니다.

 

해당 통신에 사용된 문자열 중 하나인 "nikoumouk"는 2018년 분석에서 발견된 것과 동일하며, 이로써 이 캠페인이 기존 공격자와 더욱 관련이 있음을 알 수 있습니다.

 

연구원들은 이 문자열에 대해 "모욕적인 아랍어 표현으로, 주로 유럽의 프랑스어를 사용하는 교외 지역에서 사용된다”고 밝혔습니다.

 

이 캠페인에서 사용하는 이메일에는 ZIP 파일을 다운로드하는 URL이 포함됩니다. 이 ZIP 파일에는 TinyNuke 맬웨어를 다운로드하고 실행하기 위해 PowerShell 명령을 실행하는 JavaScript 파일이 포함되어 있습니다.

 

 

<출처 : https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities>

<페이로드 ZIP 파일을 가져오는 PowerShell 코드>

 

 

TinyNuke 로더는 Firefox, Internet Explorer, Chrome에 대한 양식 가져오기 및 웹 삽입 기능을 사용하여 크리덴셜을 훔치는 것이 가능하며, 추가 페이로드를 설치할 수도 있습니다.

 

또한 아래와 같이 새 레지스트리 키를 추가하여 지속성을 보호합니다.

 

키: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\x00E02BC647BACE72A1\xe4\x8d\x82

데이터: C:\Users\[사용자]\AppData\Roaming\E02BC647BACE72A1\firefox.exe

 

진행중인 캠페인은 특정 미끼를 사용하지만, 공격자는 메시지를 업데이트해 새로운 미끼를 사용하는 것도 가능합니다.

 

또한 새로운 공격자가 TinyNike를 사용하는 경우, 원래 작성자가 해당 코드를 다크 웹에서 판매했거나 몇 년 전 GitHub에 릴리스된 이후 코드가 독립적으로 순환되었을 가능성도 있습니다.

 

어느 쪽이든, 배포는 더욱 늘어날 수 있으며, 타깃에 전달되는 이메일 미끼는 더욱 다양해질 수 있습니다.

 

 

<출처 : https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities>

<최근 TinyNuke 캠페인의 샘플 메시지>

 

 

따라서 항상 경계를 유지하고, 이메일 내에 포함된 버튼을 클릭하지 말아야 합니다.

 

이러한 사이트는 합법적이기 때문에 인터넷 보안 솔루션에서 플래그를 표시하지 않을 수 있으므로 더욱 각별한 주의가 필요합니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’DeepScan:Generic.Tinukebot.1.E874ED70’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/tinynuke-info-stealing-malware-is-again-attacking-french-users/

https://www.proofpoint.com/us/blog/threat-insight/tinynuke-banking-malware-targets-french-entities