1. “화학적 공격” 피싱 stealer 악성코드 유포
Reference: https://www.bleepingcomputer.com/news/security/ukraine-warns-of-chemical-attack-phishing-pushing-stealer-malware/ / https://cert.gov.ua/article/40135
우크라이나 CERT 팀은 화학 공격이 임박했다는 피싱 메일을 통해 Jester Stealer 악성코드가 유포되고 있음을 확인했다. 전쟁 속에서 우크라이나 사람들은 끊임없는 두려움 속에 살고 있기에 이러한 심리를 이용해서 화학공격에 대한 경고인 척 피싱 메일을 보내 무시하지 못하도록 하는 것이다.
피싱 메일에는 악성 매크로가 있는 xls 문서가 포함되어 있고, 해당 콘텐츠를 허용하도록 설정하면 원격지 소스에서 exe 페이로드를 가져와서 피해자 컴퓨터에서 실행된다.
해당 페이로드는 공격자가 통제하는 사이트가 아닌 손상된 웹 사이트를 통해 다운로드 받도록 되어있다.
사용되는 악성코드는 Jester Stealer 이며 광범위한 기능과 가격으로 인해 22년에 인기를 얻고 있는 info stealer 악성코드의 변종이다.
Jester Stealer
브라우저에 저장되어 있는 계정 비밀번호, 이메일 메시지, IM 앱 내용, 암호화폐 지갑 세부 정보 등을 훔친다. 이렇게 훔친 데이터를 원격 서버에 업로드하여 수집한 후 향후 공격에 사용하거나 다크웹에 판매한다.
특징으로는 AES-CBC-256 암호화를 사용하여 Tor 서버를 통해 운영자와 통신 및 데이터를 개인 텔레그램 채널로 전송한다.
가상머신에서 분석하기 어렵게 안티 디버깅 기능이 있으며, 부족한 부분으로는 프로그램이 꺼진 후에 삭제되면 다시 시작되지 않는다.
IOC
File
d5c9fd40738ac33f59467811c1ceb30b 5df051b418cd3d51cfcfe17685275e03b0efdf9a80ce237d2deccb3749576092 Map023.xlsb
d80f1d64e07909d29d7a2a1888931af9 f963ed8559ade984e81a95238c4875d4c0a6ff14a7695630429bf98d4235d596 Map021.xlsb
4742c9d0a6b5b3b10ae7eb8f6b3e2fe6 ef7ddd544267a8781c99f08146d455aa08beab867e0453b07f1131edcbef92b2 Map026.xlsb
70ef45cb31af0b6f37be051de4170839 a2234ee40097fa832eb3a533840e86de3933cf216fbf8445d2946cb7b61c887b Updater-Microsoft.exe
8f32a69ecd777f99d67bd18363afa25d da0de03004e3ec2711ddc71e119ecc252568b2c9300b98dd2434b8e83ce02dc9 a1.exe
31600c8891e3902a0fe2d2985d25ca34 f7477c153f861d8c57d4794481445134426d634b9f4ca58d4d8519c4b0cd0085 ckloc (JesterStealer)Network
tachikawaobs@sv5206.xserver.jp
157[.]112.183.47
igshop[.]net (Скомпрометований веб-ресурс)
dcshost[.]net (Скомпрометований веб-ресурс)
marmaris.com[.]ua (Скомпрометований веб-ресурс)
autodoka.com[.]ua (Скомпрометований веб-ресурс)
lightnogu5owjjllyo4tj2sfos6fchnmcidlgo6c7e6fz2hgryhfhoyd[.]onion
wasabiwallet[.]online
ip-api[.]com (Легітимний сервіс)
hxxps://igshop[.]net/uploads/Map026.xlsb
hxxps://igshop[.]net/uploads/Map023.xlsb
hxxps://igshop[.]net/uploads/Map021.xlsb
hxxps://igshop[.]net/uploads/Updater-Microsoft.exe
hxxps://dcshost[.]net/mail/OfficeUpdaterNew.exe
hxxps://marmaris.com[.]ua/misc/Updater-Microsoft.exe
hxxps://autodoka.com[.]ua/extra/Updater-Microsoft.exe
hxxp://lightnogu5owjjllyo4tj2sfos6fchnmcidlgo6c7e6fz2hgryhfhoyd[.]onion/stealer/1026977440
hxxp://ip-api[.]com/json (Легітимний сервіс)
tcp://wasabiwallet[.]online:7777Registry
HKCU\SOFTWARE\kxialunboq\state'깔짝할짝' 카테고리의 다른 글
| 2022-05-30 Mon (0) | 2022.05.30 |
|---|---|
| 2022-05-13 Fri (0) | 2022.05.13 |
| 2022-05-09 Mon (0) | 2022.05.09 |
| 2022-04-25 Mon (0) | 2022.04.25 |
| 2022-04-21 Thur (0) | 2022.04.21 |