수수께끼의 도둑

러시아의 위협 행위자들은 암호화폐 업계에서 일하는 동유럽인을 대상으로 캠페인을 고안했습니다. 그들은 가짜 구인 제안을 사용하여 Enigma Stealer로 추적되는 이전에 알려지지 않은 맬웨어로 피해자를 감염시키는 것을 목표로 합니다. 위협적인 작업은 이전 Intel 드라이버의 취약점을 악용하는 복잡하고 난독화된 로더 집합에 의존합니다. 이 기술은 Microsoft Defender의 토큰 무결성을 줄이고 결과적으로 보안 조치를 우회하는 데 사용됩니다.

이러한 모든 전술은 기밀 데이터에 대한 액세스 권한을 얻고 피해자의 시스템을 손상시키는 데 사용됩니다. 보안 연구원의 보고서에서 Enigma Stealer와 공격 캠페인의 인프라에 대한 세부 정보가 공개되었습니다. 그들의 조사 결과에 따르면 Enigma는 오픈 소스 맬웨어 Stealerium 의 수정된 버전입니다.

Enigma Stealer의 복잡한 감염 사슬

Enigma Stealer의 배후에 있는 위협 행위자는 악의적인 이메일을 사용하여 피해자를 공격하고 있습니다. 취업 기회를 제공하는 것처럼 가장한 이메일에는 키릴 문자로 작성된 인터뷰 질문이 포함된 .TXT 파일과 'interview conditions.word.exe'라는 실행 파일이 포함된 RAR 아카이브가 첨부되어 있습니다. 피해자가 실행 파일을 실행하도록 유도되면 다단계 페이로드 체인이 실행되고 결국 Telegram에서 Enigma 정보 수집 악성코드를 다운로드합니다.

1단계 페이로드는 2단계 페이로드인 'UpdateTask.dll'을 다운로드하고 실행하는 동안 탐지를 회피하기 위해 다양한 기술을 사용하는 C++ 다운로더입니다. 이 두 번째 단계 익스플로잇은 커널 권한으로 명령을 실행할 수 있는 CVE-2015-2291 Intel 취약점을 익스플로잇하기 위해 'BYOVD(Bring Your Own Vulnerable Driver)' 기술을 활용합니다. 이것은 맬웨어가 세 번째 페이로드를 다운로드하기 전에 위협 행위자가 Microsoft Defender를 비활성화하는 데 사용됩니다.

Enigma Stealer의 위협적인 기능

공격자가 배치한 세 번째 페이로드는 Enigma Stealer입니다. Google Chrome, Microsoft Edge, Opera 등과 같은 웹 브라우저에 저장된 시스템 정보, 토큰 및 암호를 대상으로 설계되었습니다. 또한 손상된 시스템에서 스크린샷을 캡처하고 클립보드 콘텐츠 및 VPN 구성을 추출할 수도 있습니다.

Enigma Stealer는 또한 Microsoft Outlook, Telegram, Signal, OpenVPN 및 기타 애플리케이션에 저장된 데이터를 표적으로 삼을 수 있습니다. 수집된 모든 정보는 ZIP 아카이브('Data.zip')로 압축되어 Telegram을 통해 위협 행위자에게 다시 전송됩니다. 자체 데이터를 추가로 숨기고 무단 액세스 또는 변조를 방지하기 위해 웹 브라우저 경로 및 Geolocation API 서비스 URL과 같은 일부 Enigma 문자열은 AES(Advanced Encryption Standard) 알고리즘을 사용하여 CBC(Cipher Block Chaining) 모드에서 암호화됩니다.