분석 정보/악성코드 분석 정보

텔레그램을 통해 다시 돌아온 "Haskers Gang" 해킹 그룹

TACHYON & ISARC 2022. 4. 22. 18:09

20201월부터 활동을 시작한 “Haskers Gang”은 러시아어를 구사하는 구성원으로 이루어져 있으며 스틸러”, “암호화 기악성코드를 무료 배포 또는 판매하고 있다. 현재까지도 해당 해킹 그룹은 지속적인 업데이트를 통해 고객들을 유치하고 있으며 텔레그램을 통해 정보 탈취 로그를 받을 수 있도록 운영하고 있다.

 

해당 해킹 그룹의 인포 스틸러 “GinzoStealer”는 무료로 배포 중이며 고객이 텔레그램 계정을 통해 탈취한 정보를 받을 수 있다. “GinzoStealer”는 유튜브를 이용해 게임 치트 툴, 불법 복제 소프트웨어로 위장하여 유포되고 있고, 감염되면 사용자의 PC 정보, 암호화폐 지갑 정보 및 브라우저 쿠키 정보를 탈취한다. 해당 악성코드는 더 강력한 인포 스틸러와 불법 암호화폐 채굴 프로그램을 다운로드하여 추가적인 이득을 취한다.

 

[그림  1]  텔래그램을 통해 홍보 중인  GinzoStealer

 

또한, 동시에 판매중인 “ExoCrypt” 암호화 악성코드는 “GinzoStealer”의 백신 탐지 우회 시도를 도와주며 300루블에 판매됐다. 하지만 현재는 해당 암호화 툴의 개발을 중지했으며 새로운 “GhostlyCrypt” 라는 암호화기 악성코드를 판매 중에 있다. 이 경우, 고객끼리 키를 공유하는 일반 버전과 고객마다 키를 발급해주는 비밀 버전이 존재하며 각각 300루블, 1500루블에 판매된다.

 

[그림  2] GhostlyCrypt  구매 텔레그램

 

Analysis

1. GinzoStealer

“GinzoStealer” 정보 탈취 악성코드는 텔레그램을 통해 무료로 배포되며 누구나 쉽게 샘플을 다운로드 할 수 있다.

 

[그림  3]  텔레그램을 통한  GinzoStealer  다운로드

 

다운로드된 파일을 피해자가 실행시키면 원본 파일과 동일한 경로에 필요한 모듈을 드랍한 후 숨김 속성으로 변경한다. 그 후, “%APPDATA%” 경로에 디렉토리를 생성하여 탈취 정보를 저장한다.

 

[그림  4]  정보 탈취 동작

 

해당 폴더에 저장된 탈취 정보는 [1]과 같다.

 

 

[표  1]  탈취 정보

                                     

탈취 정보를 “Ginzoarchive.zip”이라는 이름으로 압축하여 공격자에게 전송한다. 전송된 압축 파일은 해당 악성코드를 구매한 고객의 텔레그램으로 확인이 가능하며 “GINZO-[국가]-[IP]-[날짜].zip”이라는 파일명으로 다운로드 가능하다.

 

[그림  5]  탈취 데이터 전송  ( 텔레그램 )

 

최종적으로 “GinzoStealer”는 공격자의 C&C 서버에서 추가 파일을 다운로드한다. 다운로드되는 파일은 사용자 PC에서 불법으로 암호화폐 채굴을 하는 “XMRig”와 더 강력한 정보 탈취가 이루어지는 “RedlineStealer”이다.

 

다운로드된 “XMRig”는 명령 프롬프트를 통해 암호화된 파워쉘 코드를 실행하며 해당 파워쉘 코드는 “Windows Defender”에 코인 마이너를 예외 처리한다. 그 후, 작업 스케줄러에 등록하여 재부팅 시에도 실행될 수 있도록 한다. 최종적으로 “XMRig”는 정상 프로그램인 “explorer.exe”에 인젝션돼 사용자의 PC에서 불법으로 암호화폐를 채굴한다.

 

[그림  6] XMRig  실행 화면 및 작업 스케줄러 등록

 

“RedlineStealer”는 분석 당시 공격자의 C&C 서버에 연결되지 않아 확인이 불가능 했다. 하지만 “Haskers Gang” 그룹이 홍보하는 문구에 의하면 다수의 “GinzoStealer” 악성코드 이용 고객이 소통이 가능한 커뮤니티에서 정보를 사고 팔 수 있으며 이와 관련된 더 다양한 정보 탈취가 가능하도록 하기 위해 다운로드한다고 설명한다.

 

2. ExoCrypt / GhostlyCrypt

“Haskers Gang” 그룹이 판매중인 “ExoCrypt” 암호화기는 ”GinzoStealer”의 코드를 암호화하기 위해 만들어졌다. 해당 악성코드는 “GinzoStealer”가 백신 프로그램 탐지 우회를 시도할 수 있도록 코드를 암호화할 수 있으며 메모리에서 실행돼 실행 사실 여부를 숨길 수 있다.

 

“ExoCrypt” 암호화기를 실행하면 “%TEMP%” 경로에 실행 압축 파일인 “ChromeHandler.exe” 파일을 드랍한다. 해당 파일은 원본 파일 내부에 난독화 상태로 저장돼 있다.

 

[그림  7] ExoCrypt  내부 코드

 

[그림  8]  난독화 해제 후  ChromeHandler.exe  파일

 

“ChromeHandler.exe” 파일이 실행되면 다수의 자가 복제 파일을 생성한다. 생성된 자가 복제 파일은 다양한 정상 파일로 위장돼 있으며 작업 스케줄러에 등록돼 재부팅 시에도 실행된다. 최종적으로 다양한 자가 복제 파일 중“RuntimeBroker.exe” 파일을 실행하고 삭제한다.

 

[그림  9]  작업 스케줄러 등록 및  RuntimeBroker.exe  파일 실행

 

실행된 “RuntimeBroker.exe”은 공격자의 C&C 서버에서 “GinzoStealer” 정보 탈취 악성코드를 다운로드 한 후 실행한다.

 

[그림  10] GinzoStealer  다운로드 패킷

 

하지만 “Haskers Gang”은 현재 “ExoCrypt” 암호화기의 업데이트를 중단하고, 새로운 “GhostlyCrypt” 암호화기 악성코드를 판매하고 있다고 밝혔다.

 

[그림  11] ExoCrypt  서비스 종료 및  GhostlyCrypt  판매

 

“Haskers Gang” 해킹 그룹은 사용자의 PC 정보뿐만 아니라 브라우저 및 암호화폐 지갑 정보까지 탈취하는 “GinzoStealer” 악성코드를 배포한다. 또한, 백신 프로그램 탐지 우회를 시도하기 위한 “ExoCrypt / GhostlyCrypt”와 같은 암호화기 악성코드를 이용해 정보 탈취 악성코드를 암호화한다. 해당 악성코드는 현재까지도 지속적인 업데이트를 통해 판매하고 있으므로 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 12] TACHYON Internet Security 5.0 진단 및 치료 화 면