고급 위협 연구: 러시아 출신 수집가-도둑 맬웨어 분석

러시아에서 유래된 맬웨어인 콜렉터-스틸러는 인터넷에서 최종 사용자 시스템에서 민감한 데이터를 빼내 C&C 패널에 저장하는 데 많이 사용됩니다. 이러한 위협으로부터 업계를 보호하기 위해 F5의 CTO 사무실 내 고급 위협 연구 센터의 Aditya K Sood와 Rohit Chaturvedi는 바이너리 분석, 작동 방식, 관련 C&C 패널의 설계를 포괄하는 숨겨진 아티팩트를 찾아내기 위해 Collector-stealer 맬웨어에 대한 360도 분석을 제시합니다.

수집가-도둑질은 비교적 짧은 시간 안에 꽤 널리 퍼졌습니다. 악성 소프트웨어로 인해 유출된 정보는 대개 불법적인 목적으로 지하 시장을 통해 유출됩니다. 공격자는 주로 Collector-stealer를 사용하여 유럽 국가를 공격하지만 미국, 중국, 캄보디아 등 다른 국가의 사용자에게도 영향을 미칩니다.

이 분석을 통해 밝혀진 수집가-도둑의 몇 가지 하이라이트와 흥미로운 특징은 다음과 같습니다.

• 수집가-도둑은 다음을 포함한 여러 가지 방법을 사용하여 감염을 시작합니다.
  • 무료 게임 다운로드를 호스팅하는 피싱 포털을 방문하도록 사용자를 유인
  • Windows 활성화/크랙 소프트웨어 패키지
  • 가짜 채굴자 웹 포털(암호화폐 소프트웨어 제공자 포털의 유사한 콘텐츠를 모방하여 드라이브바이 다운로드 공격을 유발하는 웹 포털)
• 콜렉터 스틸러는 C++로 작성되었으며, 저장된 비밀번호, 웹 데이터, 쿠키, 스크린샷 등과 같은 중요한 데이터를 훔칠 목적으로 사용자 컴퓨터를 감염시킵니다. 맬웨어 개발자는 연구자들을 좌절시키고 코드를 더 복잡하게 만들기 위해 코드에 난독화 기술을 사용했습니다.
   
• 수집자-도둑은 C&C 서버로 데이터를 보내기 전에 Cloudflare DNS 확인자 IP 주소 1.1.1.1에 ping을 보내 피해자의 컴퓨터에서 인터넷 연결을 확인합니다. ping 요청이 실패하면 피해자의 컴퓨터에서 수집된 데이터와 함께 실행 파일을 삭제한 후 자동으로 종료됩니다. 그렇지 않으면 수집된 데이터를 C&C 서버로 전송합니다.
   
• 수집자-도둑은 HTTP 프로토콜과 POST 방식을 사용하여 수집된 데이터를 전송합니다. 데이터를 보내기 전에 맬웨어는 데이터를 압축하여 .zip 파일로 보관한 다음 C&C 서버로 전송합니다.
  

수집가-도둑은 광범위한 악성 코드 기능으로 인해 지하 포럼에서 인기를 얻었습니다. 많은 사용자가 이 맬웨어를 구입하는 데 관심을 보이는 것을 보았으며, 일부 그룹은 심지어 크랙된 버전을 제공하려고 시도하기도 했습니다. "Hack_Jopi" 러시아 그룹은 2018년 10월부터 포럼에서 컬렉터스틸러를 판매해 왔습니다.

이 맬웨어에 대한 분석을 자세히 설명한 전체 연구 내용이 Virus Bulletin에 공개되었습니다. 위의 내용과 다른 결과를 확장한 연구 논문을 보려면 다음을 방문하세요.
https://www.virusbulletin.com/virusbulletin/2021/12/collector-stealer-russian-origin-credential-and-information-extractor/ 

즐기다!