Agent Tesla, 브라우저와 VPN에서 비밀번호를 훔치는 새로운 기능 추가

Agent Tesla includes new password-stealing capabilities from browsers and VPNs

 

SentinelOne의 연구원들이 Agent Tesla 트로이목마의 새로운 변종을 발견했습니다. 이 새 변종에는 인기 웹 브라우저, VPN 소프트웨어, FTP 이메일 클라이언트 등 애플리케이션에서 크리덴셜을 훔치는 새로운 모듈이 추가되어 있었습니다.

 

Agent Tesla는 스파이웨어로 감염된 시스템에서 키 입력, 시스템 클립보드, 스크린샷, 크리덴셜 등을 훔쳐 피해자를 스파잉하는데 사용됩니다. 이 작업을 위해 스파이웨어는 메인 기능에 다른 스레드와 타이머 기능을 생성합니다.

 

연구원들은 이 악성코드를 2018년 6월 처음 발견했지만, 이는 2014년부터 활동해온 것으로 나타났습니다. 당시 이 악성코드는 자동 실행되는 악성 VBA 매크로를 포함한 마이크로소프트 워드 문서를 통해 배포되고 있었습니다.

 

사용자가 매크로를 활성화 하면, 이 스파이웨어는 피해자의 기기에 설치됩니다.

 

Agent Tesla는 비즈니스 이메일을 통한 해킹 공격(BEC)에 자주 사용되며 피해자의 시스템에서 데이터를 훔치고 정보를 수집합니다.

 

이 악성코드의 최근 샘플은 다수 앱에서 앱 설정 데이터 및 크리덴셜을 수집하는 특정 코드를 포함하고 있었습니다.

 

SentinelOne은 아래와 같이 언급했습니다.

 

“현재, Agent Tesla는 다양한 공격 단계에서 계속적으로 활용되고 있습니다. 피해자의 기기를 지속적으로 관리 및 조작하는 기능은 여전히 수준이 낮은 범죄자들에게는 매력적입니다.”

 

“이제 Agent Tesla는 VPN, FTP, 이메일 클라이언트, 웹 브라우저에서 설정 데이터와 크리덴셜을 훔칠 수 있습니다. 이 악성코드는 레지스트리로부터 관련 설정 파일이나 서포트 파일 및 크리덴셜을 추출해내는 기능도 포함하고 있습니다.

 

이 새로운 변종은 구글 크롬, 크로미움, 사파리, 브레이브, 파일질라, 모질라 파이어폭스, 모질라 썬더버드, OpenVPN, 아웃룩을 포함한 인기있는 애플리케이션을 노리고 있습니다.

 

 <이미지 출처: https://labs.sentinelone.com/agent-tesla-old-rat-uses-new-tricks-to-stay-on-top/>

이후 이 인포스틸링 트로이목마는 데이터를 FTP 또는 STMP를 통해 C2 서버로 전송하려 시도합니다. 전문가들은 크리덴셜이 내부 구성 파일에 하드코딩된 것을 발견했습니다.

 

최신 변종은 주입할 보조 실행파일을 드롭하거나 타깃 호스트에 존재하는 알려진 바이너리에 주입하려 시도할 것입니다.

 

전문가들은 이 악성코드가 언맵핑된 메모리 섹션을 통한 프로세스 생성 및 조작을 허용하는 ‘프로세스 하울링’ 인젝션 기술을 사용한다고 보고했습니다. 이후 이 메모리 영역은 원하는 악성코드에 재할당됩니다.

 

악성코드가 실행되면 로컬 시스템 정보 수집, 키로거 모듈 설치, 데이터를 찾아 수집하는 루틴을 시작하는 등의 활동을 수행합니다.

 

최근 샘플은 무선 네트워크 설정 및 크리덴셜을 찾고 netsh.exe 인스턴스를 생성하기 전 짧은 기간 동안 절전 모드를 유지하는 기능을 구현했습니다.

 

Netsh.exe wlan show profile

 

이들은 보통 레지스트리 키 엔트리 또는 예약된 작업을 통해 지속성을 얻습니다.

 

“Agent Tesla는 지난 몇 년 동안 사용되어 왔지만, 정교함이 낮거나 보통 수준의 공격에서 다수 활용되고 있습니다. 공격자들은 지속적으로 진화하고 있으며, 탐지를 피하는 동시에 Agent Tesla와 같은 툴을 사용할 새로운 방법을 모색하고 있습니다. 결론적으로 목적이 데이터를 수집 및 훔치는 것이라면 공격자들은 이 목석을 달성할 수 있는 방법을 찾을 것입니다. 따라서 Agent Tesla, Pony, Loki와 같은 유용한 툴들 및 기타 접근이 쉬운 악성코드가 계속해서 발견되고 있습니다.”

 

“사회공학적 미끼와 결합되었을 때, 정교하지 않은 공격은 계속해서 성공할 것입니다.”

 

현재 알약에서는 해당 악성코드 샘플에 대해 'Spyware.AgentTesla'로 탐지 중입니다.

출처:

https://securityaffairs.co/wordpress/107046/malware/agent-tesla-targets-apps.html

https://labs.sentinelone.com/agent-tesla-old-rat-uses-new-tricks-to-stay-on-top/