Astaroth Banking Trojan
사이버 보안 연구원들은 Astaroth 뱅킹 트로이 목마를 유포하는 새로운 캠페인을 발견했습니다. 이 캠페인은 적법한 서비스를 고의로 이용하여 공격을 방어합니다. 공격자는 기존 명령 및 제어(C2) 서버에만 의존하여 공격 대상을 찾아내고 교란할 수 있습니다. 공격자는 악성코드 구성 데이터를 GitHub에 호스팅하고 스테가노그래피 기법을 통해 이미지에 내장합니다. 이를 통해 인프라가 점유되거나 비활성화된 후에도 악성코드가 복구되어 계속 작동할 수 있도록 합니다.
목차
GitHub과 Steganography가 백업 C2가 되는 방법
공격자는 공개 GitHub 저장소의 이미지 내부에 구성 블롭(blob)을 배치합니다. 트로이 목마는 주 C2 서버에 접속할 수 없을 때 해당 이미지 파일에서 업데이트된 구성 데이터를 가져와, 잘 알려진 코드 호스팅 플랫폼을 복원력 있는 백업 전송 채널로 효과적으로 전환합니다. 데이터가 이미지 내부에 숨겨져 있기 때문에 일반적인 트래픽과 저장소에 섞여 탐지 및 제거가 더욱 복잡해집니다. 보안 팀은 Microsoft 소유 플랫폼과 협력하여 문제가 되는 저장소를 제거했고, 이로 인해 캠페인이 일시적으로 중단되었지만, 향후 제거에 대한 저항을 위한 설계 의도가 분명하게 드러납니다.
지리적 초점 및 이전 활동
현재 캠페인은 주로 브라질에 집중되어 있지만, Astaroth는 과거에 멕시코, 우루과이, 아르헨티나, 파라과이, 칠레, 볼리비아, 페루, 에콰도르, 콜롬비아, 베네수엘라, 파나마 등 다양한 라틴 아메리카 국가를 표적으로 삼았습니다. 이는 이전의 Astaroth 활동과 일치합니다. 연구원들은 2024년 7월과 10월에 피싱 미끼를 사용하여 동일한 악성코드 계열을 유포하는 관련 클러스터(PINEAPPLE 및 Water Makara로 추적됨)를 발견했습니다.
감염 사슬
공격은 일반적으로 링크가 포함된 DocuSign 테마의 피싱 메시지로 시작됩니다. 이 링크는 Windows 바로 가기(.lnk)가 포함된 ZIP 파일을 전송합니다. LNK를 열면 외부 호스팅 서버에서 추가 JavaScript를 가져오는 난독화된 JavaScript 스텁이 실행됩니다. 가져온 JavaScript는 여러 하드코딩된 서버 중 하나에서 여러 파일을 다운로드합니다. 이러한 파일 중에는 JavaScript 페이로드에 의해 실행되는 AutoIt 스크립트가 있습니다. AutoIt 스크립트는 셸코드를 로드하고 실행한 후 Delphi 기반 DLL을 로드합니다. 이 DLL은 Astaroth 페이로드를 복호화하여 새로 생성된 RegSvc.exe 프로세스에 주입하여 배포를 완료합니다.
감염된 호스트에서 Astaroth가 하는 일
Astaroth는 델파이로 구현되었으며, 사용자의 웹 활동을 모니터링하도록 설계되었으며, 특히 은행 및 암호화폐 관련 웹사이트 방문을 중심으로 이루어집니다. 활성 브라우저 창을 매초마다 확인하여, 은행 또는 암호화폐 관련 사이트를 탐지하면 키보드 이벤트를 후킹하여 키 입력을 캡처하고 자격 증명을 수집합니다. 이 트로이 목마는 Ngrok 역방향 프록시 터널을 통해 훔친 데이터를 공격자에게 전송하여 직접 C2 연결이 제한된 경우에도 데이터를 유출할 수 있도록 합니다.
관찰 대상의 예
연구원들은 맬웨어가 모니터링하는 것으로 관찰된 일련의 은행 및 암호화폐 관련 사이트를 나열했습니다.
- caixa.gov.br
- safra.com.br
- itau.com.br
- bancooriginal.com.br
- santandernet.com.br
- btgpactual.com
- etherscan.io
- 바이낸스닷컴
- bitcointrade.com.br
- 메타마스크.io
- foxbit.com.br
- 로컬비트코인닷컴
분석 방지 기능
Astaroth는 다양한 분석 방지 기술을 포함하고 있습니다. 가상화, 에뮬레이션, 디버깅 및 일반적인 분석 도구(예: QEMU Guest Agent, HookExplorer, IDA Pro, Immunity Debugger, PE Tools, WinDbg, Wireshark 등)를 탐지하여 환경을 조사하고, 이러한 도구가 탐지되면 자동으로 종료됩니다. 이러한 검사는 방어자의 동적 분석 및 샌드박싱을 더욱 어렵게 만듭니다.
지속성, 지오펜싱 및 로케일 확인
지속성을 유지하기 위해 이 캠페인은 재부팅 시 AutoIt 스크립트를 호출하는 바로가기를 Windows 시작 폴더에 추가하여 맬웨어가 자동으로 재실행되도록 합니다. 감염 경로에는 지오펜싱이 포함됩니다. LNK가 가져온 초기 URL은 지역을 기준으로 하며, 맬웨어는 시스템 로캘을 확인합니다. 즉, 영어/미국 로캘로 설정된 컴퓨터에서는 실행되지 않습니다. 이러한 보호 장치는 피해자의 범위를 좁히고 우발적인 노출을 줄입니다.
운영적 영향
운영자들은 GitHub을 악용하여 은밀한 구성 업데이트를 호스팅함으로써 Astaroth를 위한 가볍고 삭제하기 어려운 백업 채널을 구축했습니다. 연구원들은 Microsoft 소유 플랫폼과 협력하여 악성 저장소를 제거했고, 이로 인해 캠페인이 일시적으로 중단되었습니다. 대체 수단으로 합법적인 서비스를 사용하는 것은 방어자가 C2 헌팅의 일환으로 클라우드 및 코드 호스팅 플랫폼의 악용을 모니터링해야 할 필요성을 보여줍니다.
요약
이 캠페인은 방어자가 고려해야 할 두 가지 추세를 강조합니다. (1) 위협 행위자들이 점점 더 신뢰할 수 있는 타사 플랫폼을 복원력 있는 인프라로 사용하고 있으며, (2) 최신 악성코드는 여러 스크립팅과 컴파일된 구성 요소(JavaScript → AutoIt → 셸코드 → Delphi DLL)를 혼합하여 분석 및 지속성 제거를 복잡하게 만듭니다. GitHub 기반 구성 폴백, 표적 지오펜싱, 강력한 분석 방지 검사, 브라우저 활동 모니터링의 조합은 Astaroth를 특히 복원력이 뛰어나고 개인 정보를 침해하는 뱅킹 트로이목마로 만듭니다. 피싱 유인에 대한 경계, 비정상적인 GitHub 이미지 활동 모니터링, 그리고 다단계 체인을 감지하는 강력한 엔드포인트 탐지는 감염을 탐지하고 차단하는 데 필수적입니다.
