공개된 정보를 기반으로 인포스틸러 정보 수집

Hae_To·2025년 6월 26일
인포스틸러

1. 인포스틸러 (Infostealer)

인포스틸러는 정보 탈취형 악성코드로서 웹 브라우저나 이메일 클라이언트 같은 프로그램에 저장되어 있는 사용자 계정 정보나 가상화폐 지갑 주소, 파일과 같은 사용자의 정보들을 탈취하는 것이 목적인 악성코드이다.

2. RedLine Stealer

  1. Executive Summary

    RedLine Stealer는 브라우저에서 저장된 인증 정보, 자동 완성 데이터, 신용카드 정보 등 다양한 사용자 정보를 수집하며, 시스템 하드웨어와 위치 정보까지 탐지한다. 최근 버전에서는 암호화폐 탈취 기능이 추가되어 FTP, IM 클라이언트와 같은 다양한 애플리케이션을 타깃으로 삼는다. 이 악성코드는 파일 업로드/다운로드, 명령 실행, 주기적인 데이터 전송 등의 기능을 제공한다.

  1. 탈취 정보

    • 브라우저 정보: 저장된 인증 정보(ID, Password), 자동 완성 데이터, 신용카드 정보
    • 시스템 정보: 사용자 이름, 위치 데이터, 하드웨어 구성, 설치된 보안 소프트웨어 정보
    • 암호화폐 정보: 지갑 및 관련 암호화폐 정보
    • 애플리케이션 정보: FTP 및 IM 클라이언트와 관련된 데이터
    • 파일 시스템 접근: 파일 업로드 및 다운로드를 통한 파일 접근

  2. 주요 공격 기술

    • 유포 전략
      • 크랙된 소프트웨어, 게임, 애플리케이션: RedLine은 사용자들이 크랙된 소프트웨어나 불법 복제된 게임을 다운로드하는 경로를 통해 유포된다. 이로 인해 사용자는 악성코드를 무의식적으로 설치하게 된다.
      • 피싱 이메일 및 스팸 캠페인: 첨부파일 또는 악성 링크를 포함한 피싱 이메일을 통해 RedLine을 설치하도록 유도하는 경우가 있다.
    • C2 서버 통신 및 제어
      • C2 서버와의 지속적인 통신: RedLine은 C2 서버와 SOAP 프로토콜을 사용하여 통신하며, 이를 통해 실시간으로 명령을 수신하고 탈취한 데이터를 전송한다. RequestConnection()와 TryGetConnection() 함수를 사용해 C2 서버 연결을 확인하고 통신을 시도한다.
      • 방어 회피 및 샌드박스 회피: 특정 VPN IP 주소나 샌드박스 환경을 탐지하여 C2 서버와의 통신을 차단하는 방식으로 탐지를 우회한다.
    • 멀웨어 로더 역할
      • RedLine은 단순히 정보 탈취에 그치지 않고, 추가 악성코드를 다운로드 및 실행하는 로더 또는 드로퍼 역할을 수행한다. 이를 통해 랜섬웨어 등 추가 악성코드로 감염을 확장할 수 있다.
    • 은닉 및 탐지 회피 기술
      • WMI를 활용한 보안 소프트웨어 탐지: WMI(Windows Management Instrumentation)를 사용하여 시스템에 설치된 안티바이러스, 방화벽 등을 탐지하여 보안 솔루션이 작동 중인지를 확인한다.
      • 레지스트리 접근: SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall과 같은 레지스트리 키를 통해 설치된 프로그램의 목록을 확인하여 시스템에 대한 정보를 더욱 세부적으로 수집한다.
    • 대상 시스템 필터링
      • 특정 국가 제외: 일부 국가에 대해 활동을 제한하도록 코드에 조건문을 삽입하여 특정 국가의 컴퓨터에는 해를 끼치지 않도록 설정한다.

3. Raccoon Stealer

  1. Executive Summary
    Raccoon Stealer는 러시아어권 사이버 범죄자들이 개발한 유명한 Malware-as-a-Service(MaaS) 인포스틸러이다. 이 악성코드는 2019년부터 활동을 시작했으며, 사용자 친화적인 인터페이스와 저렴한 가격으로 인기를 얻었다. Raccoon은 주로 Telegram을 통해 거래 및 고객 지원을 제공하지만, [XSS]와 [Exploit] 같은 주요 러시아어 사이버범죄 포럼에서도 활발히 활동하며 광고 및 평판 관리를 수행한다. Raccoon 운영자들은 후술할 다양한 유포 전략을 통해 광범위한 사용자 층을 타겟팅하며, 특히 "LolzTeam" 같은 포럼에서 활동하는 젊은 사이버 범죄자들을 통해 효과적으로 확산된다.

  1. 탈취 정보
    • 브라우저 저장 패스 워드
    • 쿠키 및 자동완성 데이터
    • 암호화폐 지갑 정보
    • FTP 클라이언트 자격증명
    • 이메일 클라이언트 데이터
    • 메신저 애플리케이션 데이터
    • 스크린샷
    • 시스템 정보 (OS 버전, 설치된 소프트웨어 등)
    • 신용카드 정보
    • 브라우저 프로파일의 데이터 (e.g., logins.json, cookies.sqlite, wallet.dat)
  2. 주요 공격 기술
    • 피싱 이메일: 악성 첨부파일이나 링크를 포함한 이메일을 통해 유포
    • 크랙된 소프트웨어: 불법 소프트웨어나 게임 크랙으로 위장하여 배포
    • 드라이브 바이 다운로드: 취약한 웹사이트를 통해 사용자 모르게 다운로드 및 설치
    • 소셜 미디어 엔지니어링: YouTube, Instagram, TikTok 등의 플랫폼에서 가짜 콘텐츠로 유인
    • 트래퍼(Traffer) 활용: 대규모 팔로워를 가진 계정을 해킹하여 악성 링크 유포
    • 익스플로잇 킷: 소프트웨어 취약점을 이용해 자동으로 감염
    • 번들웨어: 정상적인 소프트웨어와 함께 번들로 설치

4. LummaC Stealer (Lumma Stealer)

  1. Executive Summary

    루마 스틸러는 최소 2022년 8월부터 러시아어권 포럼에서 서비스형 멀웨어(MaaS) 모델을 통해 사용 가능한 C 언어로 작성된 인포스틸러이다. 이 멀웨어는 'Lumma'라는 가명을 사용하는 위협 행위자 'Shamel'이 개발한 것으로 추정됩니다. 루마 스틸러는 주로 암호화폐 지갑과 2단계 인증(2FA) 브라우저 확장 프로그램을 표적으로 삼고, 궁극적으로 피해자의 컴퓨터에서 중요한 정보를 훔칩니다.

    표적이 된 데이터가 획득되면 사용자 에이전트 ”TeslaBrowser/5.5”를 사용하는 HTTP POST 요청을 통해 C2 서버로 유출된다. 또한 이 스틸러는 EXE, DLL 및 PowerShell을 통해 추가 페이로드를 전달할 수 있는 비거주 로더를 갖추고 있다.

  2. 탈취 정보

    • 암호화폐 지갑 정보
    • 브라우저 확장 프로그램에 설치된 2단계 인증 정보
    • 아이디, 비밀번호 탈취
    • 데이터 탈취

  3. 주요 공격 기술

    • 크랙 소프트웨어(cracked software) 활용 사람들이 좋아할 만한 유료 프로그램들을 크랙 버전 공유로 속여 해당 실행파일을 악성 실행파일로 변경하여 유포함. 이러한 크랙 파일은 컴퓨터 백신 도구를 비활성 하거나, 백신을 속이는 기능 또한 포함되어 있었다.

  • Discord 스팸 메시지

    Discord를 통한 무작위 스팸 메시지를 전송하여, 특정 링크 클릭을 유도하여 악성 실행 파일 다운로드를 진행한 뒤 정보 탈취.

  • 특정 OS 및 브라우저를 대상 공격

    Windows 7~11 운영 체제와 Google Chrome, Microsoft Edge, Mozilla Firefox를 포함한 최소 10가지의 다양한 브라우저의 취약점을 활용하여, 공격을 진행.

  • 가상화폐 지갑 주소 대상 공격 Binance 및 Ethereum과 같은 암호화폐 지갑과 Metamask 및 Authenticator와 같은 암호화폐 지갑 및 2FA 브라우저 확장 프로그램을 대상으로 하는 것으로 관찰되었다.

  1. Lumma Stealer Threat Analysis

    Lumma 그룹은 다양한 루트로 악성 파일을 공유하지만, 중개 C2 서버로 Github 이용도 주로 하는 것으로 확인되었다.

    • 1단계: 탐지 및 분석 회피 적용

    루마의 악성코드는 가상머신(샌드박스) 및 디비거에서 실행되고 있는지 확인하는 윈도우 시스템 함수인 GetForegroundWindow를 호출하고 디버거 실행 프로그램 문자열이 있는지 확인한다.

    아래는 포함된 디버거 리스트이다.

    • ida
    • hyperdbg
    • debug
    • debugger
    • x32dbg
    • x64dbg
    • cheat engine
    • cheatengine
    • windbg
    • ollydbg
    • immunity debugger
    • dnspy

    여기서 멈추지 않고 시스템 속성을 검토하여 가상화가 사용 중이라는 징후가 있는지 확인하는데, system32 폴더의 .sys 파일을 검사하여 가상 머신에 일반적으로 사용되는 파일을 찾는다.

    • 2단계: Data Stealing

    1단계 작업을 반복적으로 수행 후 분석 회피가 완료되었다면, 정보 탈취하는 코드가 실행되어 감염된 사용자의 PC에서 데이터를 훔친다. 새로운 인스턴스에 대해 명령 서버에 보고합니다. 이는 HTTP POST 메시지를 사용하여 수행되며, 각 샘플에는 악성코드가 실행된 후 확인을 시작하는 암호화된 C2 주소 목록(기본 1개 + 백업 10개)이 포함되어 있습니다. 그런 다음 가장 먼저 응답하는 주소가 데이터 유출을 포함한 모든 추가 통신에 사용된다.

초기 연결이 설정되면 인포스틸러는 시스템에서 사용자 데이터를 검색하여 암호화폐 지갑, 사용자 브라우저 프로필 및 암호화폐 지갑용 브라우저 확장 프로그램과 관련된 파일을 찾아 데이터 수집 후 결과를 암호화하여 C2 서버로 보냅니다.

Lumma C2 패널도 분석할 가치가 있는데, 탐지를 피하는 방법에 AI 지원 필터링이 수반되어 “봇”, 즉 분석가가 사용하는 테스트 머신에서 유출된 데이터를 걸러낼 수 있다. 이러한 내용을 다크넷 포럼에서 홍보하였다.

profile
Hae_To
진인사대천명
이전 포스트

공개된 정보를 기반으로 Lazarus 그룹 최신 동향 정보 수집

다음 포스트

2023년 활동한 주요 핵티비즘 그룹 조사 및 주요 전술 분석

0개의 댓글