퓨어크립터

사이버 범죄자 그룹이 PureCrypter라는 멀웨어 다운로더를 사용하여 아시아 태평양(APAC) 및 북미 지역의 정부 기관을 공격하고 있습니다. 공격 배후의 사이버 범죄자는 이러한 조직의 시스템에 침투하여 민감한 정보를 수집하거나 경우에 따라 랜섬웨어를 사용하여 시스템을 인질로 잡을 수 있었습니다. 공격의 심각성은 이러한 정부 기관이 민감한 기밀 정보를 저장하는 경우가 많기 때문에 사이버 범죄자의 주요 표적이 되기 때문에 더욱 복잡해집니다.

보안 연구원은 공격자가 Discord를 악용하여 초기 페이로드를 호스팅하고 캠페인에 사용되는 추가 호스트를 확보하기 위한 방법으로 비영리 조직을 손상시켰음을 발견했습니다. 이는 공격자가 Discord와 같은 합법적인 플랫폼을 사용하여 악성코드의 초기 페이로드를 배포하여 보안 시스템이 이를 탐지하고 차단하기 어렵게 만들었다는 것을 의미합니다. 이 맬웨어는 Redline Stealer, AgentTesla , Eternity , Blackmoon 및 Philadelphia Ransomware 를 비롯한 여러 가지 맬웨어 변종을 전달하는 것으로 알려져 있습니다.

PureCrypter는 다단계 공격 체인의 일부입니다.

PureCrypter 맬웨어 다운로더를 활용하는 공격은 Discord 애플리케이션 URL이 포함된 이메일로 시작됩니다. 이 URL은 암호로 보호된 ZIP 아카이브에 포함된 PureCrypter 샘플로 연결됩니다. PureCrypter는 .NET 기반 시스템에서 작동하는 맬웨어 다운로더입니다. 운영자는 다양한 유형의 맬웨어를 배포할 목적으로 다른 사이버 범죄자에게 임대합니다. PureCrypter가 실행되면 명령 및 제어(C2, C&C) 서버에서 다음 단계 페이로드를 가져와 전달합니다. 이 특정 사례에서 공격자가 사용하는 명령 및 제어 서버는 비영리 조직의 손상된 서버였습니다.

연구원들이 분석한 샘플은 피해자의 컴퓨터에서 정보를 수집하는 악성코드 유형인 AgentTesla였습니다. 일단 실행되면 AgentTesla는 수집된 데이터를 전송하기 위해 파키스탄 기반 FTP 서버에 대한 연결을 설정합니다. 흥미로운 점은 공격자가 자체 FTP 서버를 설정하지 않고 유출된 자격 증명을 사용하여 기존 서버를 제어한다는 것입니다. 이미 손상된 서버를 사용하여 식별 위험을 줄이고 추적을 최소화합니다.

AgentTesla는 위협적인 사이버 범죄 도구로 남아 있습니다.

AgentTesla는 지난 8년 동안 사이버 범죄자들이 사용한 .NET 맬웨어 유형으로, 2020년 말과 2021년 초에 사용량이 최고조에 달했습니다. 나이에도 불구하고 AgentTesla는 성능이 뛰어나고 비용 효율적인 백도어로 계속해서 사용되고 있습니다. 수년에 걸쳐 개발되고 개선되었습니다.

AgentTesla의 주요 기능 중 하나는 피해자의 키 입력을 기록하여 사이버 범죄자가 암호와 같은 민감한 정보를 캡처할 수 있도록 하는 것입니다. 멀웨어는 또한 FTP 클라이언트, 웹 브라우저 또는 이메일 클라이언트에 저장된 암호를 수집할 수 있습니다. 또한 AgentTesla는 피해자의 데스크톱 스크린샷을 캡처하여 잠재적으로 기밀 정보를 노출할 수 있습니다. 또한 텍스트, 암호 및 신용 카드 세부 정보를 포함하여 시스템의 클립보드에 복사된 모든 데이터에 액세스하고 가로챌 수 있습니다. 수집된 데이터는 FTP 또는 SMTP를 통해 명령 및 제어(C2) 서버로 유출될 수 있습니다.

PureCrypter 공격에서 공격자는 AgentTesla 페이로드를 'cvtres.exe'라는 합법적인 프로세스에 주입하기 위해 "프로세스 비우기"라는 기술을 사용했습니다. 이 기술은 보안 도구의 탐지를 피하는 데 도움이 됩니다.

C2 서버와의 통신 및 구성 파일이 네트워크 트래픽 모니터링 도구에 의해 감지되지 않도록 안전하게 유지하기 위해 AgentTesla는 XOR 암호화를 사용합니다. 이 암호화 방법은 보안 시스템이 C2 서버와 맬웨어의 통신을 탐지하기 어렵게 하므로 탐지하고 완화하기 어려운 위협이 됩니다.