새로운 라쿤 스틸러, 탐지를 피하기 위해 구글 클라우드 서비스 악용해

New Raccoon Stealer uses Google Cloud Services to evade detection

연구원들이 구글 클라우드 서비스를 악용하며 여러 확산 기술을 사용하는 Raccoon 스틸러를 발견했습니다.

Racoon 악성코드 (Legion, Mohazo, Racealer로도 불림)는 최근 발견된 인포스틸러로 해킹 포럼에서 광고되고 있습니다.

이 악성코드는 다른 것들과 비교했을 때 가격이 저렴합니다. 또한 약 60개 앱(브라우저, 가상화폐 지갑, 이메일 및 FTP 클라이언트 등)에서 민감 데이터를 훔칠 수 있습니다.

Raccoon 스틸러는 2019년 4월 처음 발견되었습니다. 이는 피해자로부터 신용카드 데이터, 이메일 크리덴셜, 가상화폐 지갑, 기타 민감 정보를 훔치도록 설계되었습니다.

Racoon은 사용이 쉬운 자동 백엔드 패널을 구현한 서비스형 악성코드 (MaaS: malware-as-a-service)입니다. 운영자들은 방탄 호스팅과 24시간 러시아어/영어 고객 지원 서비스를 제공합니다. Raccoon 서비스의 사용료는 한 달에 $200입니다.

Raccoon 스틸러는 러시아어를 구사하는 개발자가 C++로 작성한 것으로 보이며, 초기에는 러시아어 해킹 포럼에서 독점적으로 홍보되었습니다. 이 악성코드는 이제 영어 해킹 포럼에도 홍보되고 있으며 32비트 및 64비트 OS에서 모두 동작합니다.

<이미지 출처: https://www.cybereason.com/blog/hunting-raccoon-stealer-the-new-masked-bandit-on-the-block>

2020년 2월 언더그라운드 커뮤니티의 판매 로그를 분석 결과, Raccoon은 전 세계 사용자 10만명 이상을 감염시킨 것으로 드러났습니다.

타깃 애플리케이션 목록에는 주요 가상화폐용 앱 (Electrum, Ethereum, Exodus, Jaxx, Monero), 인기 브라우저 (구글 크롬, 모질라 파이어폭스, 마이크로소프트 엣지, 인터넷 익스플로러, 오페라, 비발디, 워터폭스, 씨몽키(SeaMonkey), UC 브라우저), 썬더버드, 아웃룩, 폭스메일 등 이메일 클라이언트가 포함되어 있습니다.

이 서비스는 1주일에 $75, 한 달에 $200 정도의 가격으로 이용할 수 있습니다.

이 악성코드는 현재 익스플로잇 키트, 피싱 캠페인, 다른 악성코드와 번들로 제공되는 형식으로 확산되고 있습니다. Trend Micro측에서 분석한 캠페인은 Fallout과 Rig 익스플로잇 키트를 사용했으며 탐지를 피하기 위해 구글 드라이브를 사용한다는 점이 특징입니다.

“Raccoon 악성코드가 일단 기기를 감염시키면, 구글 드라이브 URL에 연결하여 실제 C&C 서버를 복호화합니다. URL 형식은 hxxp://{IP}/gate/log.php로 컴퓨터의 구성 정보를 기록합니다. 이후 위치 종속성을 포함하는 JSON 형식 파일을 받습니다. 그 다음 데이터 추출을 위해 hxxp://{IP}/file_handler/file.php URL에 연결합니다.”

“마지막으로, /gate/libs.zip에서 FoxMail과 같은 컴포넌트 및 hxxp://{IP}/gate/sqlite3.dll에서 브라우저 데이터베이스를 파싱하기 위한 SQLite 라이브러리를 다운로드합니다.”

연구원들은 C2 서버로 사용되는 IP 67개를 식별했습니다. 이 중 대부분은 구글 클라우드 서비스와(예: 176[.]223[.]143[.]5) 관련이 있었습니다.

이 악성코드는 악성 스팸 이메일로도 확산되었습니다. 이 메시지는 Raccoon 악성코드를 드롭하는 첨부파일을 사용했으며, 수신인의 친구의 이메일이 해킹당했다고 주장합니다.

또한 수신인의 민감 정보를 훔쳤다고 주장하며, 이 정보를 퍼뜨리는 것을 원하지 않을 경우 돈을 내놓으라 협박하고 있습니다.

<이미지 출처: https://blog.trendmicro.com/trendlabs-security-intelligence/raccoon-stealers-abuse-of-google-cloud-services-and-multiple-delivery-techniques/>

전문가들은 2019년 4월부터 Raccoon과 관련된 이벤트 10만 건 이상을 발견했습니다. 2019년 7월 탐지율이 가장 높았습니다.

전문가들은 2019년 2분기 이래로 Raccoon “Racestealer” 스틸러의 고유 바이너리 샘플 3,000개 이상을 발견했습니다. 또한 해당 서비스형 악성코드를 개발한 공격자가 지속적으로 새로운 버전을 공개하고 있다고 지적했습니다.

가장 많은 영향을 받은 국가는 인도와 일본이며 미국, 콜롬비아, 캐나다, 멕시코, 볼리비아, 페루도 영향을 받았습니다.

“Raccoon의 현재 활동으로 미루어볼 때, 공격자는 지속적으로 이를 개발 및 활용할 것으로 보입니다. 지금으로써 공격자가 취할 수 있는 최선의 조치는 개선 및 버그 수정, 그리고 비교적 기본적인 레퍼토리에 새로운 기술을 추가하는 것입니다.”

“제작자는 Raccoon 개발을 위해 노력하고 있으며, 이 서비스를 구매한 공격자는 현재 언더그라운드 마켓에서 얻을 수 있는 버전을 통해 공격을 계획하거나 실행할 수 있습니다. 조직들은 Raccoon 악성코드를 활용한 공격에 주의하고, Raccoon이 사용하는 여러 배포 방식에 대응하는 방어 수단을 준비해야 합니다.”

현재 알약에서는 해당 악성코드에 대해 Trojan.PSW.Racealer로 탐지중에 있습니다. 

출처 :

https://securityaffairs.co/wordpress/100869/malware/raccoon-abuses-google-services.html