해커들, 50만 이상 호스트를 악성코드에 감염시키기 위해 BitBucket 악용해

Hackers abuse BitBucket to infect 500K+ hosts with arsenal of malware

공격자들이 현재 진행 중인 캠페인에 사용되고 있는 악성코드 유형 7개를 저장하기 위해 Bitbucket 코드 호스팅 서비스를 악용하고 있다고 Cybereason의 연구원들이 밝혔습니다. 전문가들에 따르면, 이 악성코드는 이미 전 세계 기업 컴퓨터 50만대 이상을 감염시켰습니다.

이 공격자들은 데이터 스틸러, 가상 화폐 마이너, 랜섬웨어 등을 모두 활용해 피해자를 다방면으로 공격합니다.

또한 연구원들은 이 캠페인에서 관찰된 페이로드가 코드 저장 플랫폼인 Bitbucket의 계정 다수에서 발견되어 공격자가 배포 인프라로써 이를 활용한 것으로 보인다고 밝혔습니다.

공격자들은 여러 보안 제품을 우회하기 위해 합법적인 온라인 스토리지 플랫폼을 악용합니다. 또한 이로써 C2 서버 인프라와 전달 인프라를 분리하여 그들의 C2 서버가 노출될 확률을 줄일 수 있게 됩니다.

공격자들은 여러 Bitbucket 계정을 통해 악성코드를 호스팅하고 있으며, 이 악성코드는 자주 업데이트되고 있었습니다.

연구원들이 발견한 이 캠페인에서 배포한 페이로드는 아래와 같습니다.

• Predator: 브라우저에서 크리덴셜을 훔치고, 카메라를 통해 사진을 찍고 가상 화폐 지갑을 훔치는 인포 스틸러

• Azorult: Azorult 패스워드, 이메일 크리덴셜, 쿠키, 브라우징 히스토리, ID, 가상 화폐를 훔치고 백도어 기능을 포함한 인포 스틸러

• Evasive Monero Miner: 모네로를 채굴하고 탐지를 피하기 위해 고급 회피 기술을 사용하는 다단계 XMRig 마이너 드롭퍼

• STOP Ransomware: 랜섬웨어 감염 및 시스템을 추가 악성코드에 감염시킬 수 있는 다운로더

• Vidar: 웹 브라우저 쿠키와 히스토리, 디지털 지갑, 이중 인증 데이터를 훔치고 스크린샷을 찍을 수 있는 인포 스틸러

• Amadey bot: 타깃 기기에서 정찰 정보를 수집하는 트로이목마 봇

• IntelRapid: 여러 종류의 가상 화폐 지갑에서 가상 화폐를 훔치는 스틸러

공격자들은 Themida를 패커로 활용하여 탐지를 피하고, CypherIT Autoit 패커를 사용하여 Azorult를 해킹해 분석을 막으려 시도했습니다.

또한 악성코드를 어도비 포토샵, 마이크로소프트 오피스와 같은 상용 서비스웨어의 크랙 버전으로 둔갑시켰습니다.

이 캠페인에서 발견된 대부분의 크랙 소프트웨어는 Azorult와 Predator the Thief 데이터 스틸러를 포함하고 있었습니다.

 

<그림 1. The flow of the Bitbucket multi-payload attack>

이미지 출처: https://www.cybereason.com/blog/the-hole-in-the-bucket-attackers-abuse-bitbucket-to-deliver-an-arsenal-of-malware

또한 전문가들은 이미 기기 50만대 이상이 감염되어 해킹 되었으며, 매 시간 마다 새로운 감염이 수백 건 발생했다고 밝혔습니다.

전문가들은 공격자가 감염된 시스템에서 훔칠 데이터를 찾을 수 없을 경우, 지속성을 유지하고 피해자를 협박하기 위해 STOP 랜섬웨어를 배포한다고 밝혔습니다. 

알약에서는 해당 악성코드에 대해 Trojan.GenericKD, Trojan.Agent.EKGH, Trojan.Ransom.Stop 으로 탐지 및 대응하고 있으며, 관련 C2서버에 대해서는 Threat Inside를 통해 모니터링을 진행중입니다.

IOC: (PDF)

https://www.cybereason.com/hubfs/BitBucket%20Malware%20Arsenal%20IOCs.pdf

출처 : 

https://securityaffairs.co/wordpress/97357/cyber-crime/bitbucket-malware-attack.html

https://www.cybereason.com/blog/the-hole-in-the-bucket-attackers-abuse-bitbucket-to-deliver-an-arsenal-of-malware