러시아 위협 행위자, Enigma 악성코드로 암호화폐 공격

러시아의 위협 행위자들이 가짜 구인 광고를 사용하여 암호화폐 산업에서 일하는 동유럽인을 목표로 삼는 캠페인을 진행하고 있으며, 이는 Stealarium 악성코드의 수정된 버전인 Enigma로 근무하는 전문가를 감염시키는 것을 목표로 하고 있습니다.

현재 보안 회사인 Trend Micro에 따르면, 악성 활동을 추적하고 있는 이들은 불분명한 로더를 사용하며, 이는 오래된 인텔 드라이버 결함을 이용하여 Windows Defender의 토큰 무결성을 감소시키고 그 보호를 우회합니다.

피싱 공격과 마찬가지로, 이는 그들을 유혹하려는 가짜 구인 광고인 이메일로 시작됩니다. 이메일에는 TXT, Interview questions.txt 및 실행 파일인 interview conditions.word.exe가 포함된 RAR 첨부 파일이 있습니다.

읽기: 새로운 로열 트로이안 변종 발견, VMware ESXi 가상 머신을 목표로 함

이메일의 텍스트 파일에는 키릴 문자로 작성된 질문들이 포함되어 있으며, 이는 진짜처럼 보이도록 잘 작성되어 있습니다. 그런 다음 목표가 속아 실행 파일을 실행하면, 일련의 페이로더가 다운로드되어 결국 Telegram에서 Enigma라는 정보 탈취 악성코드를 설치합니다.

그 후, 첫 번째 단계가 Downloader로 시작되며, 이는 문자열 암호화, API 해싱 및 무관한 코드를 사용하여 다운로드 및 두 번째 단계 페이로드인 UpdateTask.dlll을 실행하는 동안 탐지를 피합니다.

두 번째 단계의 페이로드도 C++로 작성되어 있으며, 자신의 취약한 드라이버 사용 방법을 사용하여 CVE-2015-2291 인텔 드라이버 취약점을 악용합니다. 이 취약점은 커널 접근 권한으로 명령을 수행할 수 있게 합니다.

또한, 위협 행위자들은 이 결함을 악용하여 악성코드가 세 번째 단계 페이로드를 다운로드하기 전에 Windows Defender를 비활성화합니다.

이제 세 번째 단계는 최종 페이로드인 Enigma 정보 탈취기를 개인 Telegram 채널에서 다운로드할 때 시작됩니다. 보안 회사에 따르면, 이는 Stealarium의 다른 정보 탈취 악성코드의 수정된 버전입니다.

정보 탈취 악성코드는 Google Chrome, Opera 등과 같은 웹 브라우저에 저장된 비밀번호와 토큰을 목표로 합니다. 또한 Telegram, Microsoft Outlook, Signal 등과 같은 데이터도 타겟으로 삼습니다. 정보 탈취 악성코드는 감염된 장치에서 스크린샷을 찍고 클립보드에 저장된 데이터를 유출합니다.

마지막으로 모든 데이터는 ZIP 파일(Data.zip)로 압축되어 Telegram을 통해 위협 행위자에게 다시 전송됩니다. 악성코드의 문자열 중 일부는 Geolocation API 서비스와 같은 것이며, 이는 AES 알고리즘으로 암호화되어 무단 변조를 방지합니다.

보안 회사는 공격을 자신 있게 특정하지는 않았지만, 공격에 사용된 로깅 서버 중 하나가 러시아 사이버 범죄 포럼에서 인기 있는 Amaday C2 패널을 호스팅하고 있다는 점에서 러시아 위협 행위자가 이러한 공격의 배후에 있다는 여러 가지를 발견했습니다.

읽기: Mimic 랜섬웨어, 영어 및 러시아어 Windows 사용자를 목표로 ‘모든 것’ API 사용