Squirrelwaffle 로더를 사용하는 캠페인 발견

최근 코발트 스트라이크(Cobalt Strike)를 다운로드 받아 실행하는 "Squirrelwaffle" 악성코드가 발견됐다. 해당 악성코드는 다운로드 받은 코발트 스트라이크를 사용해 추가 파일을 다운로드 받아 사용자 정보 탈취 등의 행위를 수행한다.

 

 

"Squirrelwaffle" 악성코드를 사용해 사용자 PC에서 최종 페이로드를 실행하기 위한 흐름도는 [그림 1]과 같다.

 

[그림 1] Squirrelwaffle 악성코드 흐름도

 

1. 악성 문서를 실행하면 문서에 포함된 매크로를 실행해 VBS 파일과 파워쉘(PowerShell) 스크립트를 생성한다.

2. 이전 단계에서 생성한 스크립트를 실행해 공격자의 C&C 서버에서 악성코드를 다운로드 및 실행한다.

3. 다운로드한 악성코드는 최종 페이로드 다운로드를 위한 코발트 스트라이크를 다운로드 및 실행한다.

4. 코발트 스트라이크는 사용자 PC에서 최종 페이로드를 다운로드 및 실행한다.

 

1.  문서 파일

“Squirrelwaffle” 악성코드는 다운로드 링크가 포함된 메일로 유포된다고 알려졌으며, 해당 링크와 연결되면 [그림 2]와 같이 악성 문서가 압축된 파일을 다운로드한다.

 

[그림 2] 악성 문서 압축 파일

 

다운로드 받은 파일을 압축 해제 한 후 생성된 문서 파일을 실행하면 [그림 3]과 같이 악성코드 다운로드를 위한 스크립트를 생성 및 실행한다.

 

[그림 3] 악성 문서에 포함된 VBS 매크로 스크립트

 

[그림 3]의 단계에서 생성한 파일은 VBS 파일과 파워쉘 스크립트로 VBS 파일은 다운로드 한 악성 파일을 실행하고, 파워쉘 스크립트는 ”Squirrelwaffle” 악성코드를 다운로드 한다.

 

[그림 4] VBS 파일과 파워쉘 스크립트의 코드

 

2. Squirrelwaffle 악성코드

다운로드한 ”Squirrelwaffle” 악성코드가 실행되면 공격자가 운영하는 C&C 서버에 피해자의 PC와 사용자 이름 등의 정보를 전송한 후, 해당 서버에서 데이터를 받아온다.

 

[그림 5] C2 연결 코드

 

그러나 분석 시점에서는 공격자가 운영하는 C&C 서버와 연결되지 않았다.

 

[그림 6] 공격자 C&C 서버 통신 패킷

 

추가로 샘플을 분석해본 결과 약 450개의 IP와 URL 이 [그림 7]과 같이 확인됐다. 이 중, IP 목록은 자동화 환경에서 악성코드 실행을 방지하기 위해 사용한다.

 

[그림 7] C&C 서버 IP 및 URL 목록

 

3. 코발트 스트라이크

이전 단계에서 공격자의 C&C 서버와 연결되면 추가 페이로드 다운로드를 위한 코발트 스트라이크를 다운로드 및 실행한다. 하지만 분석 시점에서 해당 서버와의 연결이 정상적으로 이뤄지지 않았다.

 

[그림 8] 공격자 C&C 서버 통신 패킷

 

최근 코발트 스트라이크를 사용해서 악성 페이로드를 다운로드 및 실행한 후, 사용자의 정보를 탈취하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 9] TACHYON Internet Security 5.0 진단 및 치료 화면