2022-04-11

1. META 정보탈취형 악성코드

Reference: https://www.bleepingcomputer.com/news/security/new-meta-information-stealer-distributed-in-malspam-campaign/

새로운 정보 탈취형 악성코드인 META가 malspam 캠페인에서 배포되고 있는 것이 확인되었다. META는 Mars Stealer와 BlackGuard와 함께 등장한 새로운 정보 탈취형 악성코드이다. 월간 구독의 경우 $125, 무제한 사용의 경우 $1000에 판매되며 RedLine의 개선된 버전으로 홍보되고 있다.

META는 Chrome, Edge, Firefox에 저장된 크리덴셜들과 암호화폐 지갑 비밀번호 등을 탈취한다. 초기 엑세스는 이메일 첨부파일로, 악성 매크로를 포함한 엑셀 파일을 통해 유포된다.

메일 자체는 엉성하지만 자금 이체에 대한 내용이며, 스프레드시트 파일을 다운받으면 vbs 매크로를 실행시키기 위해 콘텐츠 활성화를 하도록 팝업이 발생한다.

악성 스크립트가 실행되면 Github 등 여러 사이트에서 dll과 실행파일을 포함한 페이로드들을 다운로드하며, 일부는 base64로 인코딩 되어있거나 탐지 우회를 위해 바이트 반전이 되어있다.

최종적으로 페이로드는 qwveqwveqw.exe 라는 이름으로 저장되며, 해당 이름은 랜덤할 수 있다. 또한 이후 지속성을 위해 해당 실행파일이 레지스트리 키로 추가된다.

감염이 되면 193.106.191[.]162 C2 서버와 트래픽이 발생한다. 한가지 주목할 점은 META는 Powershell을 통해 Windows Defender를 수정하여 exe 파일을 탐색에서 제외하고 파일이 검색되지 않도록 한다.

Process

1. 악성 매크로 포함한 엑셀 문서 메일로 수신
2. 매크로 실행
3. 데이터 바이너리를 다운받기 위한 Github https 트래픽 발생
4. 데이터를 통해 exe 생성
5. 다른 데이터 바이너리를 다운받기 위한 transfer[.]sh 접속
6. 데이터를 통해 dll 생성
7. base64 텍스트 데이터를 받는 http 트래픽 발생
8. base64 트래픽으로부터 dll 생성
9. MetaStealer C2 트래픽 발생

IOC

1. 193.106.191[.]162:1775
   • GET /avast_update
   • GET /api/client/new
   • POST /tasks/get_worker
2. http://transfer[.]sh - GET /get/qT523D/Wlniornez_Dablvtrq.bmp
3. https[://]transfer[.]sh/get/qT523D/Wlniornez_Dablvtrq.bmp
4. Email attatchment(transfer_info2460.xls)
   • SHA256: 981247f5f23421e9ed736dd462801919fea2b60594a6ca0b6400ded463723a5e
5. VBS (to create exe, open.vbs)
   • SHA256: 81e77fb911c38ae18c268178492224fab7855dd6f78728ffedfff6b62d1279dc
   • location: excel 파일과 같은 디렉토리
6. qwveqwveqw.exe(실제 C2 통신 하는 악성파일)
   • SHA 256: f644bef519fc0243633d13f18c97c96d76b95b6f2cbad2a2507fb8177b7e4d1d
   • HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon에 레지스트리 등록
   • 366 MB 이상의 zero-byte 패딩 존재
7. notice.zip(open.vbs에서 가져오는 바이너리로 exe 파일에 사용)
   • SHA 256: 8cfa23b5f47ee072d894ee98b1522e3b8acc84a6e9654b71f50536e74a3579a5
   • https[://]raw.githubusercontent[.]com/michel15P/1/main/notice.zip
8. zero-byte 패딩 remover
   • SHA 256: 7641ae596b53c5de724101bd6df35c999c9616d93503bce0ffd30b1c0d041e3b
9. Wlniornez_Dablvtrq.bmp(reverse byte dll)
   • SHA 256: fba945b78715297f922b585445c74a4d7663ea2436b8c32bcb0f4e24324d3b8b
   • https[://]transfer[.]sh/get/qT523D/Wlniornez_Dablvtrq.bmp
10. 9번 바이너리에 의해 생성되는 dll
    • SHA 256: bf3b78329eccd049e04e248dd82417ce9a2bcaca021cda858affd04e513abe87
    • notice.exe에 의해 실행
11. http[://]193.106.191[.]162:1775/avast_update
    • base 64 인코딩 된 dll
12. 11을 디코딩 한 dll
    • SHA 256: 71e54b829631b93adc102824a4d3f99c804581ead8058b684df25f1c9039b738
    • notice.exe에 의해 실행