2022-06-14 Tue

1. Backdoor Web3 wallet 배포(for iOS, Android)

Reference: https://thehackernews.com/2022/06/chinese-hackers-distribute-backdoored.html / https://blog.confiant.com/how-seaflower-藏海花-installs-backdoors-in-ios-android-web3-wallets-to-steal-your-seed-phrase-d25f0ccdffce

SeaFlower 로 알려진 위협 그룹에서 피해자의 자금을 고갈시키는 백도어 앱을 배포하기 위해 공식 암호화폐 지갑 웹사이트를 모방하는 캠페인이 확인되었다. 2022년 3월에 처음 발견된 것으로, MacOS 사용자 이름이나 백도어 코드 주석, 알리바바 CDN 남용을 통해 중국과 관련된 단체임을 알 수 있다.

해당 악성 앱은 실제 앱과 동일하지만 디지털 자산에 접근하기 위한 보안 문구를 훔칠 수 있는 백도어가 함께 제공된다. 타겟은 안드로이드와 iOS의 Coinbase, MetaMask, TokenPocket, imToken등이 있다. 이들은 중국 검색 엔진의 SEO poisoning 기술, black SEO 기술, 합법적인 웹사이트의 복제 등을 이용해서 Download MetaMAsk iOS 등의 검색 결과에 사기성 앱이 상단에 뜰 수 있도록 이용하였다.

IOC

trx.lnfura[.]org

metanask[.]cc

https[://]colnbase[.]homes/u/sms/

MetaMask

• iOS SHA-256: 9003d11f9ccfe17527ed6b35f5fe33d28e76d97e2906c2dbef11d368de2a75f8

Coinbase:

• iOS SHA-256: 2334e9fc13b6fe12a6dd92f8bd65467cf700f43fdb713a209a74174fdaabd2e2
• Android SHA-256: 83dec763560049965b524932dabc6bd6252c7ca2ce9016f47c397293c6cd17a5

imToken

• iOS SHA-256: 1e232c74082e4d72c86e44f1399643ffb6f7836805c9ba4b4235fedbeeb8bdca

TokenPcket

• iOS SHA-256: 46002ac5a0caaa2617371bddbdbc7eca74cd9cb48878da0d3218a78d5be7a53a

2. PingPull: 금융, 정부 기관 타겟 백도어 from Gallium

Reference: https://www.bleepingcomputer.com/news/security/gallium-hackers-backdoor-finance-govt-orgs-using-new-pingpull-malware/

중국 기반 집단으로 파악되는 Gallium이 유럽, 동남아, 아프리카의 금융 및 정부 기관을 대상으로 PingPull 원격 트로이목마를 사용하는 것이 확인되었다.

PingPull 은 손상된 시스템에서 reverse shell을 제공하여 원격으로 명령을 실행할 수 있다. C2 통신에 ICMP, HTTPS, TCP 세가지 프로토콜이 사용되며, 이는 탐지를 피하거나 사전 정찰 이후 적절한 변종을 배포하기 위함일 수 있다.

세가지 모두 악성코드는 서비스로 설치가 되며, 서비스를 종료하지 못하도록 합법적인 서비스라고 설명을 한다. 세가지 변종 모두 동일한 명령을 수행한다.

1. A: 부터 Z: 까지 스토리지 볼륨 열거
2. 폴더 내용 나열
3. 파일 읽기 / 쓰기 / 삭제
4. 파일 읽기 : to Hex, from Hex
5. 파일 이동 /복사 / 생성 / 쓰기 및 엑세스 시간을 우너본 파일과 일치하도록 설정
6. 디렉토리 생성
7. 타임스탬프 파일
8. cmd.exe를 통한 명령 실행

명령들과 매개변수는 AES 암호화를 통해 C2에서 전송된다.

IOC

sample

de14f22c88e552b61c62ab28d27a617fb8c0737350ca7c631de5680850282761

b4aabfb8f0327370ce80970c357b84782eaf0aabfc70f5e7340746f25252d541

fc2147ddd8613f08dd833b6966891de9e5309587a61e4b35408d56f43e72697e

c55ab8fdd060fb532c599ee6647d1d7b52a013e4d8d3223b361db86c1f43e845

f86ebeb6b3c7f12ae98fe278df707d9ebdc17b19be0c773309f9af599243d0a3

8b664300fff1238d6c741ac17294d714098c5653c3ef992907fc498655ff7c20

1ce1eb64679689860a1eacb76def7c3e193504be53ebb0588cddcbde9d2b9fe6

C2

df.mcfkbeljacob[.]com

t1.hinitial[.]com

5.181.25[.]55

92.38.135[.]62

5.8.71[.]97

domain

micfkbeljacob[.]com

df.micfkbeljacob[.]com

jack.micfkbeljacob[.]com

hinitial[.]com

t1.hinitial[.]com

v2.hinitial[.]com

v3.hinitial[.]com

v4.hinitial[. ]com

v5.hinitial[.]com

goodjob36.publicvm[.]com

goodluck23.jp[.]us

helpinfo.publicvm[.]com

Mailedc.publicvm[.]com

IP 주소

(6월 13일 기준 지난 30일 동안 활성)

92.38.135[.].62
5.181.25[.]55
5.8.71[.]97
101.36.102[.]34
101.36.102[.]93
101.36.114[.]167
103.116.47[.]65
103.179.188[.]93
103.22.183[.]131
103.22.183[.]138
103.22.183[.]141
103.61.139[.]72
103.61.139[.]75
103.61.139[.]78
103.61.139[.]79
103.78.242[.]62
123.58.196[.]208
123.58.198[.]205
123.58.203[.]19
128.14.232[.]56
152.32.165 [.]70
152.32.245[.]157
154.222.238[.]50
154.222.238[.]51
165.154.52[.]41
165.154.70[.]51
167.88.182 [.]166
2.58.242[.]235
202.87.223[.]27
212.115.54[.]54
37.61.229[.]104
45.136.187[.]98
45.14.66[.]230
45.154.14[.]132
45.154.14[.]164
45.154.14 [.]188
45.251.241[.]82
45.76.113[.]163
47.254.192[.]79
92.223.30[.]232
92.223.30[.]52
92.223.93[.]222
92.38.139[.]170
92.38.149[.]101
92.38.149[.]241
92.38.171[.] 167
92.38.176[.]47
107.150.127[.]124
185.239.227[.]12 
194.29.100[.]173 
2.58.242[.]236 
45.128.221[.]182 
103.137.185[.]249 
103.61.139[.]74 
107.150.112[.]211 
107.150.127[.]140 
176.113.68[.]12 
185.101.139[.]176 
188.241.250[.]152 
188.241.250[.]253 
2.58.242[.]232
37.61.229[.]106
45.128.221[.]172
45.128.221[.]186
45.128.221 [.]229
45.134.169 [.]147
167.88.182[.]107 
185.239.226[.]203 
185.239.227[.]34 
45.128.221[.]169 
103.192.226[.]43 
92.38.149[.]88 
5.188.33[.]237 
146.185.218[.]176 
104.43.2[.]98 
92.223.59[.]84 
43.254.218[.]43 
81.28.13[.]48 
89.43.107[.]191 
103.123.134[.]145 
103.85.24[.]81
212.115.54[.]241
43.254.218[.]114
89.43.107[.]190
103.123.134 [.]139
103.123.134 [.]240
45.121.50[.]230