새로운 RIG 익스플로잇 키트 캠페인, RedLine 스틸러로 피해자의 PC 감염시켜

New RIG Exploit Kit Campaign Infecting Victims' PCs with RedLine Stealer

 

익스플로잇 킷을 활용하는 새로운 캠페인이 작년에 마이크로소프트가 패치한 RedLine Stealer 트로이 목마를 전달하는데 사용된 IE의 취약점을 악용하는 것으로 나타났습니다.

 

Bitdefender에서는 보고서를 통해 아래와 같이 밝혔습니다.

 

"RedLine 스틸러가 실행되면 타깃 시스템에 대한 정찰(사용자 이름, 하드웨어, 설치된 브라우저, 바이러스 백신 소프트웨어 등)을 수행한 다음 데이터(암호, 저장된 신용 카드, 암호화 지갑, VPN 로그인 등)를 원격 C2 서버로 전송합니다.”

 

대부분의 감염은 브라질과 독일에서 발생했으며 미국, 이집트, 캐나다, 중국, 폴란드 등이 뒤를 이었습니다.

 

익스플로잇 킷, 익스플로잇 팩은 감염된 시스템에서 다양한 취약점을 스캔하고 추가 악성코드를 배포해 유명 소프트웨어의 취약점을 악용하도록 설계된 익스플로잇 모음이 포함된 툴입니다.

 

공격자가 익스플로잇 킷(이 경우는Rig Exploit Kit)을 배포하는 데 사용하는 주요한 감염 방식은 피해자가 해킹된 사이트를 방문 시 후속 공격을 위해 RedLine 스틸러 페이로드를 전송하는 익스플로잇 코드를 드롭하는 것입니다.

 

 

<이미지 출처: https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/>

 

 

이 문제의 취약점은 CVE-2021-26411(CVSS 점수: 8.8)로 등록되었으며, 이전에 북한 관련 공격자가 무기화한 IE의 메모리 손상 취약점입니다.

 

마이크로소프트는 2021년 3월 ‘패치 화요일’ 업데이트를 통해 이 문제를 패치했습니다.

 

연구원들은 "RIG EK에서 제공하는 RedLine Stealer 샘플은 탐지를 피하기 위해 여러 암호화 레이어로 포장되어 제공됩니다."라 밝혔습니다.

 

언더그라운드 포럼에서 판매되는 정보 탈취 악성코드인 RedLine Stealer는 브라우저에 저장된 암호, 쿠키, 신용 카드 데이터, 암호화 지갑, 채팅 기록, VPN 로그인 크리덴셜, 텍스트 파일 등을 탈취해 원격 서버로 전송하는 기능이 있습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ‘Spyware.Infostealer.RedLine’로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2022/04/new-rig-exploit-kit-campaign-infecting.html

https://www.bitdefender.com/blog/labs/redline-stealer-resurfaces-in-fresh-rig-exploit-kit-campaign/ (IOC)