Blog

Latest Industry News

그누보드 파일 다운로드

악성 코드는 스크립트 파일, HWP 문서의 취약점, 일반 문서처럼 보이는 „EXE”실행 파일의 이름을 변경등 다양한 전자 메일 첨부 파일을 통해 전달됩니다. 이러한 파일은 일반적으로 압축 된 파일로 전달됩니다. 그들은 또한 MyEtherWallet에서 발행 한 이더리움 키 스토어 파일을 훔쳤습니다. SectorA05는 악성 코드를 공급하는 방법으로 구글 드라이브를 사용했다. 일반적인 맬웨어 작업에 필요한 맬웨어 바이너리, C2 도메인 정보 및 맬웨어 구성 파일은 모두 사용자가 만든 계정으로 Google 드라이브에 업로드되었습니다. 이러한 바이너리는 초기 감염 시 피해자가 실행한 스크립트를 통해 다운로드되며, 이후 추가 구성 또는 사용자 지정 맬웨어도 다운로드됩니다. 또한 Google 드라이브를 사용하면 일반적으로 Google 서비스를 화이트리스트 도메인으로 무시하는 네트워크 보안 장치를 우회할 수 있었습니다. 또한 감염된 피해자의 PC를 스캔하고 암호 화폐와 관련된 파일이 발견되면 악성 코드가 컴파일되어 개별 사용자에게 배포됩니다. 악성 코드 해시 „f483d5051f39d1b086679ccbc81423a15bfe5c5fb5a7792d4307a8af4e4586″는 단일 사용자를 위해 컴파일되고 독점적으로 생성 된 악성 코드의 예입니다. 피해자 PC의 사용자 이름이 노출되면, 암호 화폐를 훔치는 악성 코드는 개별 사용자에 맞게 실시간으로 배포됩니다.

파일을 수집하기 위해 추가 맬웨어를 수동으로 컴파일하고 배포하는 것과 같은 추가 감염 후 작업을 모니터링하고 관리할 책임이 있음을 알 수 있습니다. SectorA05를 지속적으로 추적하는 과정에서 피해자를 관리하는 데 사용하는 관리 스크립트를 발견했습니다. 스크립트 파일 자체에서 그들은 피해자를 „키티”라고 불렀습니다. 우리는 그들의 운영 이름을 „키티 피싱 작전”이라고 부르기로 결정했습니다. „Freedom.dll” 파일은 XOR 테이블을 사용하여 C2 서버에서 호스팅되는 암호화된 추가 맬웨어를 다운로드하고 해독합니다. 사용되는 XOR 테이블 값은 „B20A82932F459278D4058ADBF313FB56C1D749947D00FE00FE0ABC84BC8A02B”이며 이 XOR 테이블은 동일한 해커 조직의 이전 공격에도 사용되었습니다. 이 XOR 테이블에 대한 자세한 내용은 이 게시물의 후반부에서 다룹니다. 이 „Freedom.dll” 파일은 다운로더 역할을 하도록 설계되었으며 다음과 같은 역할을 합니다: 이 모듈은 Chrome 브라우저에서 정보를 도용하고 „AppDataLocalGoogleChromeUser DataDefault”에서 쿠키 및 로그인 데이터 파일의 값을 봅니다. 이 모듈은 주기적으로 희생자 화면을 캡처하여 압축한 다음 C2 서버의 특정 폴더로 보냅니다. 전송할 파일 이름의 예는 „[MAC 주소]_imgscr_20190124_235450161″입니다. 공격자는 파일 이름에 많은 공백을 삽입하여 „.exe” 또는 „.scr”과 같은 실행 파일의 확장을 사용자에게 숨기고 실행 파일파일이 일반 문서 파일이라고 생각하게 만듭니다. 실제 공격에 사용되는 파일은 다음과 같습니다.

CS: https://sourceforge.net/projects/daolcms/files/tools/migration/cs_export.zip/download 대상 사용자에 따라 해커는 사용자 정보를 훔치는 파일 이름 „Cobra_[MAC 주소]”로 추가 맬웨어 바이너리를 선택적으로 보냅니다. 이를 통해 더 가치 있는 맬웨어가 관심 있는 피해자만 보관되도록 할 수 있습니다. 그런 다음, 파일 경로에 저장된 암호 화폐 지갑 및 해당 개인 키의 제어를 하기 위해, 추가 악성 코드 („59203b2253e5a53a146c583ac1ab8dcf78f8b9410dee30d8275f1d228975940e”) 파일의 대상 파일을 압축하는.

Back to top