문자열 및 코드 난독화 동적 API 호출 등 분석방해 등 진행
브라우저 데이터 및 확장 프로그램, 암호화폐 지갑 프로그램 등 다양한 정보 탈취도
[보안뉴스 김영명 기자] 신종 정보탈취 악성코드 ‘LummaC2’가 크랙, 시리얼 등의 불법 프로그램으로 위장해 유포 중이다. 이러한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되기도 했다. LummaC2 악성코드는 유포된 파일명으로 볼 때 다음 페이지로부터 다운로드됐을 것으로 추정된다.
▲악성코드 유포 페이지 예시[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면 LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는 대부분 RecordBreaker(Raccoon V2) 악성코드가 사용되나, LummaC2 Stealer가 종종 모습을 보이고 있다. 해당 악성코드는 이달 3일 최초로 발견됐으며, 12일과 20일에도 유포된 이력이 확인되며, 일주일 간격으로 모습을 드러내고 있다.
LummaC2은 유명 소프트웨어의 Crack, Serial 등을 검색해 악성 사이트로 접속하면 발견할 수 있다. 해당 사이트에서 특정 파일을 내려받기 위해 다운로드 버튼을 누를 경우 다수의 리디렉션을 거쳐 악성코드 유포 페이지에 도달한다. 해당 페이지에 명시된 URL에 접속하거나, 다운로드 버튼을 누르게 되면 압축된 악성코드를 다운로드하게 된다, 이 악성코드는 공격자 자체 개설 서버를 통하거나 MediaFire, MEGA 등의 서비스를 활용하기도 한다.
이러한 방식으로 최초 유포된 샘플은 ‘NewSetupV4-Pass-55551.rar’ 이름의 압축파일이었다. 이 압축파일 내부에는 ‘setup.rar’이라는 이름의 또 다른 압축파일이 존재하고 이를 해제하게 되면 ‘setupfile.exe’ 파일명의 LummaC2 악성코드가 생성된다. 해당 악성코드가 처음 유포됐던 페이지에서는 현재 Vidar 악성코드가 유포 중이다.
크랙으로 위장해 유포된 LummaC2는 지금까지 △CryptBot과 동일한 외형으로, ClipBanker를 함께 설치하는 유형 △C2로부터 악성 DLL을 다운로드하는 유형 △유포 파일 자체로 LummaC2 악성코드인 유형 등 3가지 유형으로 유포됐다.
LummaC2 샘플들은 분석 방해(문자열 난독화, 코드 난독화, 동적 API 호출, Anti-Sandbox, 다양한 플랫폼을 악용하는 Vidar Stealer) 또는 명령제어(C&C) 통신 등의 특징이 발견됐다.
‘문자열 난독화’는 악성 행위에 사용되는 문자열 사이에 ‘edx765’ 문자열을 다수 넣어 난독화했다. ‘코드 난독화’는 코드 대부분에서 특정 변수에 값을 변경하며 수많은 조건문, Jump문을 사용하는 방식으로 실행 흐름을 제어한다. 이는 분석을 어렵게 하기 위한 방편으로 풀이된다.
▲문자열 난독화 및 코드 난독화 예시(좌부터)[자료=안랩 ASEC 분석팀]
‘동적 API 호출’은 악성 행위와 관련된 API 사용 시 Import Table, 또는 GetProcAddress 등의 함수를 사용하지 않고 로드된 대상 DLL에 직접 접근해 API 주소를 얻는다. 악성코드는 함수명을 연산한 값만 갖고 있으며, 대상 DLL의 Export Table에 정의된 함수명 중 동일 값이 나오는 함수를 찾는 방식이다. 행위에 사용되는 API를 숨기기 위해 악성코드에서 자주 사용되는 방식이다.
▲동적 API 호출 및 DLL 로딩 확인(좌부터)[자료=안랩 ASEC 분석팀]
‘Anti-Sandbox’는 실행 초기, 샌드박스 우회 행위로 보이는 △DLL 로딩 확인 △Sleep 함수 우회 확인 △계정명 및 컴퓨터명 확인 등 3가지 함수가 존재한다. 각 함수에서 특정 조건에 부합할 경우 무한 재귀 함수를 실행해 Crash와 함께 프로세스가 종료된다.
‘DLL 로딩 확인’은 ‘ters-alreq-std-v19.dll’ 이름의 DLL 로드가 성공할 경우 Crash가 발생한다. 이 DLL은 일반적인 시스템에는 없기 때문에 특정 분석 환경(샌드박스 등)을 우회할 목적이거나 Kill-Switch 등으로 사용될 것으로 추정된다.
‘Sleep 함수 우회 확인’은 Sleep() 함수와 GetSystemTimeAsFileTime() 함수를 사용해 Sleep 함수 사이 경과 시간 값을 확인한다. 만일 Sleep 함수가 무시됐다면 Crash가 발생한다.
‘계정명 및 컴퓨터명 확인’은 계정명과 컴퓨터명을 연산 후 특정 값과 비교해 일치할 경우 Crash를 발생시킨다. 비교 대상 값은 0x56CF7626, 0xB09406C7이며 이는 각각 ‘JohnDoe’, ‘HAL9TH’로 확인됐다. 해당 계정명과 컴퓨터명은 Windows Defender 에뮬레이터 환경값으로 알려졌으며, 동일 공격으로 유포되는 Vidar 악성코드에도 존재하는 기능이다.
‘다양한 플랫폼을 악용하는 Vidar Stealer’에서 유저명 확인은 제대로 구현됐지만, 컴퓨터명 문자열 길이는 6이 아닌 7과 비교하는데, 악성코드 제작자의 실수로 추정된다. 만일 공격자의 의도대로 구성됐을 경우 해당 컴퓨터 및 계정명의 환경에서는 Crash가 발생했을 것으로 안랩 ASEC 분석팀 측은 추정했다.
▲컴퓨터명 확인 코드[자료=안랩 ASEC 분석팀]
C&C 통신에서는 C&C로부터 명령이나 설정값 등을 수신하는 행위는 확인되지 않는다. 탈취 대상은 악성코드 자체에 지정됐으며 유포 샘플마다 조금씩 다르다. 각각의 정보를 수집할 때마다 ZIP파일로 압축, HTTP POST 방식을 사용해 전송하며 Path는 ‘/c2sock’, User-Agent는 ‘TeslaBrowser/5.5’이다.
‘hwid’는 감염 PC의 고유 식별자이며, ‘pid’는 탈취 정보 종류에 따라 1~3의 숫자로 지정된다. ‘lid’는 Lumma ID로 설명되며, 유포 악성코드의 캠페인 식별자로 사용될 것으로 추정된다. 현재까지 유포에 사용된 lid는 △iOqpIq △RIIoQe–p5 △RIIoQe–p10 등이다.
C&C 전송 데이터 중에는 악성코드의 이름과 빌드 버전으로 추정되는 문자열이 포함된다. 지난 20일 유포 중인 샘플 또한 동일한 빌드 버전으로 파악됐다.
▲C2 전송 데이터 예시[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀 측은 “이번 LummaC2 악성코드는 실행 흐름과 문자열을 기반으로 탈취 대상 정보를 분석한 결과 탈취 대상은 Browser 데이터(Chrome, Chromium, Edge 등), Browser 확장 프로그램(MetaMask, MetaMask, TronLink, RoninWallet 등), 암호화폐 지갑 프로그램(Binance, Electrum, Ethereum, Exodus 등), 스크린샷, %UserProfile% 하위 2단계 깊이까지의 모든 txt 파일, 시스템 정보, 설치된 프로그램 정보, 메일 클라이언트(Windows Mail, The Bat 등), 기타 응용 프로그램(AnyDesk, FileZilla 등) 등으로 파악됐다”며 주의를 당부했다.
[김영명 기자(boan@boannews.com)]
브라우저 데이터 및 확장 프로그램, 암호화폐 지갑 프로그램 등 다양한 정보 탈취도
[보안뉴스 김영명 기자] 신종 정보탈취 악성코드 ‘LummaC2’가 크랙, 시리얼 등의 불법 프로그램으로 위장해 유포 중이다. 이러한 방식으로 CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) 등의 악성코드가 유포되기도 했다. LummaC2 악성코드는 유포된 파일명으로 볼 때 다음 페이지로부터 다운로드됐을 것으로 추정된다.
▲악성코드 유포 페이지 예시[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀에 따르면 LummaC2 Stealer는 올해 초부터 다크웹에서 판매되는 것으로 보이며, 올해 3월부터는 크랙 위장 공격 그룹에 의해 유포 중이다. 해당 방식으로의 악성코드 유포는 대부분 RecordBreaker(Raccoon V2) 악성코드가 사용되나, LummaC2 Stealer가 종종 모습을 보이고 있다. 해당 악성코드는 이달 3일 최초로 발견됐으며, 12일과 20일에도 유포된 이력이 확인되며, 일주일 간격으로 모습을 드러내고 있다.
LummaC2은 유명 소프트웨어의 Crack, Serial 등을 검색해 악성 사이트로 접속하면 발견할 수 있다. 해당 사이트에서 특정 파일을 내려받기 위해 다운로드 버튼을 누를 경우 다수의 리디렉션을 거쳐 악성코드 유포 페이지에 도달한다. 해당 페이지에 명시된 URL에 접속하거나, 다운로드 버튼을 누르게 되면 압축된 악성코드를 다운로드하게 된다, 이 악성코드는 공격자 자체 개설 서버를 통하거나 MediaFire, MEGA 등의 서비스를 활용하기도 한다.
이러한 방식으로 최초 유포된 샘플은 ‘NewSetupV4-Pass-55551.rar’ 이름의 압축파일이었다. 이 압축파일 내부에는 ‘setup.rar’이라는 이름의 또 다른 압축파일이 존재하고 이를 해제하게 되면 ‘setupfile.exe’ 파일명의 LummaC2 악성코드가 생성된다. 해당 악성코드가 처음 유포됐던 페이지에서는 현재 Vidar 악성코드가 유포 중이다.
크랙으로 위장해 유포된 LummaC2는 지금까지 △CryptBot과 동일한 외형으로, ClipBanker를 함께 설치하는 유형 △C2로부터 악성 DLL을 다운로드하는 유형 △유포 파일 자체로 LummaC2 악성코드인 유형 등 3가지 유형으로 유포됐다.
LummaC2 샘플들은 분석 방해(문자열 난독화, 코드 난독화, 동적 API 호출, Anti-Sandbox, 다양한 플랫폼을 악용하는 Vidar Stealer) 또는 명령제어(C&C) 통신 등의 특징이 발견됐다.
‘문자열 난독화’는 악성 행위에 사용되는 문자열 사이에 ‘edx765’ 문자열을 다수 넣어 난독화했다. ‘코드 난독화’는 코드 대부분에서 특정 변수에 값을 변경하며 수많은 조건문, Jump문을 사용하는 방식으로 실행 흐름을 제어한다. 이는 분석을 어렵게 하기 위한 방편으로 풀이된다.
▲문자열 난독화 및 코드 난독화 예시(좌부터)[자료=안랩 ASEC 분석팀]
‘동적 API 호출’은 악성 행위와 관련된 API 사용 시 Import Table, 또는 GetProcAddress 등의 함수를 사용하지 않고 로드된 대상 DLL에 직접 접근해 API 주소를 얻는다. 악성코드는 함수명을 연산한 값만 갖고 있으며, 대상 DLL의 Export Table에 정의된 함수명 중 동일 값이 나오는 함수를 찾는 방식이다. 행위에 사용되는 API를 숨기기 위해 악성코드에서 자주 사용되는 방식이다.
▲동적 API 호출 및 DLL 로딩 확인(좌부터)[자료=안랩 ASEC 분석팀]
‘Anti-Sandbox’는 실행 초기, 샌드박스 우회 행위로 보이는 △DLL 로딩 확인 △Sleep 함수 우회 확인 △계정명 및 컴퓨터명 확인 등 3가지 함수가 존재한다. 각 함수에서 특정 조건에 부합할 경우 무한 재귀 함수를 실행해 Crash와 함께 프로세스가 종료된다.
‘DLL 로딩 확인’은 ‘ters-alreq-std-v19.dll’ 이름의 DLL 로드가 성공할 경우 Crash가 발생한다. 이 DLL은 일반적인 시스템에는 없기 때문에 특정 분석 환경(샌드박스 등)을 우회할 목적이거나 Kill-Switch 등으로 사용될 것으로 추정된다.
‘Sleep 함수 우회 확인’은 Sleep() 함수와 GetSystemTimeAsFileTime() 함수를 사용해 Sleep 함수 사이 경과 시간 값을 확인한다. 만일 Sleep 함수가 무시됐다면 Crash가 발생한다.
‘계정명 및 컴퓨터명 확인’은 계정명과 컴퓨터명을 연산 후 특정 값과 비교해 일치할 경우 Crash를 발생시킨다. 비교 대상 값은 0x56CF7626, 0xB09406C7이며 이는 각각 ‘JohnDoe’, ‘HAL9TH’로 확인됐다. 해당 계정명과 컴퓨터명은 Windows Defender 에뮬레이터 환경값으로 알려졌으며, 동일 공격으로 유포되는 Vidar 악성코드에도 존재하는 기능이다.
‘다양한 플랫폼을 악용하는 Vidar Stealer’에서 유저명 확인은 제대로 구현됐지만, 컴퓨터명 문자열 길이는 6이 아닌 7과 비교하는데, 악성코드 제작자의 실수로 추정된다. 만일 공격자의 의도대로 구성됐을 경우 해당 컴퓨터 및 계정명의 환경에서는 Crash가 발생했을 것으로 안랩 ASEC 분석팀 측은 추정했다.
▲컴퓨터명 확인 코드[자료=안랩 ASEC 분석팀]
C&C 통신에서는 C&C로부터 명령이나 설정값 등을 수신하는 행위는 확인되지 않는다. 탈취 대상은 악성코드 자체에 지정됐으며 유포 샘플마다 조금씩 다르다. 각각의 정보를 수집할 때마다 ZIP파일로 압축, HTTP POST 방식을 사용해 전송하며 Path는 ‘/c2sock’, User-Agent는 ‘TeslaBrowser/5.5’이다.
‘hwid’는 감염 PC의 고유 식별자이며, ‘pid’는 탈취 정보 종류에 따라 1~3의 숫자로 지정된다. ‘lid’는 Lumma ID로 설명되며, 유포 악성코드의 캠페인 식별자로 사용될 것으로 추정된다. 현재까지 유포에 사용된 lid는 △iOqpIq △RIIoQe–p5 △RIIoQe–p10 등이다.
C&C 전송 데이터 중에는 악성코드의 이름과 빌드 버전으로 추정되는 문자열이 포함된다. 지난 20일 유포 중인 샘플 또한 동일한 빌드 버전으로 파악됐다.
▲C2 전송 데이터 예시[자료=안랩 ASEC 분석팀]
안랩 ASEC 분석팀 측은 “이번 LummaC2 악성코드는 실행 흐름과 문자열을 기반으로 탈취 대상 정보를 분석한 결과 탈취 대상은 Browser 데이터(Chrome, Chromium, Edge 등), Browser 확장 프로그램(MetaMask, MetaMask, TronLink, RoninWallet 등), 암호화폐 지갑 프로그램(Binance, Electrum, Ethereum, Exodus 등), 스크린샷, %UserProfile% 하위 2단계 깊이까지의 모든 txt 파일, 시스템 정보, 설치된 프로그램 정보, 메일 클라이언트(Windows Mail, The Bat 등), 기타 응용 프로그램(AnyDesk, FileZilla 등) 등으로 파악됐다”며 주의를 당부했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
