상세 컨텐츠

본문 제목

GandCrab 랜섬웨어와 Ursnif 바이러스, MS 워드 매크로를 통해 배포 돼

국내외 보안동향

by 알약(Alyac) 2019. 1. 28. 09:09

본문

GandCrab ransomware and Ursnif virus spreading via MS Word macros


보안 연구원들이 악성코드 캠페인 두 개를 발견했습니다. 이들 중 하나는 Ursnif 데이터 스틸링 트로이목마와 GandCrab 랜섬웨어를 유포하고, 두 번째는 Ursnif 악성코드만을 배포하는 것으로 나타났습니다.


이 두 악성코드 캠페인들은 서로 다른 사이버 범죄자들의 작업으로 보이지만, 둘 사이에는 많은 유사점이 발견 되었습니다.


이 두 공격들 모두 악성 매크로가 포함 된 마이크로소프트 워드 문서가 첨부 된 피싱 이메일로 시작 되며, 파일이 없는 악성코드를 전달하기 위해 Powershell을 사용합니다.


Ursnif는 해킹 된 컴퓨터로부터 민감 정보를 훔치는 데이터 탈취 악성코드입니다. 또한 뱅킹 크리덴셜, 브라우징 활동, 키 입력 및 시스템/프로세스 정보 수집, 추가 백도어 설치 등의 기능이 있습니다.


작년 초에 발견 된 GandCrab은 널리 확산 된 랜섬웨어 위협입니다. 다른 랜섬웨어들과 같이, 감염 된 시스템의 파일을 암호화 하고 피해자에게 랜섬머니를 요구합니다. 개발자들은 랜섬머니를 더욱 추적이 힘든 DASH로 지불하기를 요구합니다.



MS Doc 문서 + VBS 매크로 = Urnif 및 GandCrab 감염


첫 번째 악성코드 캠페인은 악성 코드 2가지를 한번에 배포합니다. 이 위협을 발견한 Carbon Black의 보안 연구원들은 실제 공격에서 악성 VBS 매크로가 포함 된 MS 워드 문서의 변종 약 180개를 발견했습니다.


성공적으로 악용 될 경우, 악성 VBS 매크로는 PowerShell 스크립트를 실행합니다. 이 스크립트는 일련의 기술을 사용해 Ursnif와 Gandcrab을 타겟 시스템에 다운로드 및 실행합니다.



<출처: https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/>


이 PowerShell 스크립트는 base64로 암호화 되었으며, 손상 된 시스템에 메인 악성코드 페이로드 다운로드를 담당하는 다음 단계의 감염을 실행합니다.


첫 번째 페이로드는 타겟 시스템의 구조를 평가한 후 Pastebin 웹사이트로부터 추가 페이로드를 다운로드 하는 한 줄 짜리 PowerShell이었습니다. 이 추가 페이로드는 메모리에서 실행 되어 일반적인 안티 바이러스 기술로는 활동을 탐지하기 어렵도록 합니다.


“이 Powershell 스크립트는 Empire Invoke-PSInject 모듈의 거의 수정 되지 않은 버전입니다.”


“이 스크립트는 base64로 인코딩 된 내장 된 PE 파일을 현재 PowerShell 프로세스에 주입할 것입니다.”


그 후 최종 페이로드는 피해자의 시스템에 GandCrab 랜섬웨어의 변종을 설치하고, 랜섬머니를 지불할 때까지 시스템을 잠가버립니다.


그 동안, 이 악성코드는 원격 서버에서 Ursnif 실행파일을 다운로드 후 실행합니다. 실행 되면 시스템의 핑거프린트를 수집하고, 데이터 수집을 위해 웹 브라우저 트래픽을 모니터링하고, 수집 된 데이터를 공격자의 C&C 서버로 전송합니다.



MS Doc 문서 + VBS 매크로 = Ursnif 데이터 탈취 악성코드


Cisco Talos의 보안 연구원이 발견 한 두 번째 악성 캠페인 또한 악성 VBA 매크로가 포함 된 마이크로소프트의 워드 문서를 이용해 또 다른 Ursnif 악성코드의 변종을 전달합니다.


이 악성코드 공격 또한 타겟 시스템을 다단계로 공격합니다. 파일이 없는 상태에서의 지속성을 얻기 위하여 악성 PowerShell 명령어를 실행하기 위한 피싱 이메일로 시작하여 Ursnif 데이터 탈취 악성코드를 다운로드 및 설치하게 됩니다.


“PowerShell 명령은 세 부분으로 나뉩니다. 첫 번째 부분은 추후 base64로 인코딩 된 PowerShell을 디코드하는 함수를 생성합니다. 두 번째 부분은 악성 DLL을 포함하는 바이트 배열을 만듭니다. 세 번째 부분은 Base64로 인코딩 된 문자열을 함수의 파라미터로 사용하여 첫 번째 부분에서 생성 된 base64 디코드 함수를 실행합니다. 이후 반환 된 디코딩 된 PowerShell은 Invoke-Expression (iex) 함수를 통해 실행 됩니다.”


일단 피해자의 컴퓨터에서 실행 되면, 이 악성코드는 시스템에서 정보를 수집하여 CAB 파일 형식으로 묶어 HTTPS 보안 연결을 통해 C&C 서버로 보냅니다.



출처 :

https://thehackernews.com/2019/01/microsoft-gandcrab-ursnif.html

https://www.carbonblack.com/2019/01/24/carbon-black-tau-threatsight-analysis-gandcrab-and-ursnif-campaign/

https://blog.talosintelligence.com/2019/01/amp-tracks-ursnif.html



관련글 더보기

댓글 영역