팔로우 
요약
Amatera Stealer 4.0.2 Beta는 2018년부터 Malware-as-a-Service로 판매되어 온 C++ 정보 탈취 프로그램을 개조한 것입니다. 이번 업데이트 버전은 강력한 안티 디버깅 및 안티 분석 기능을 도입하고, Kaspersky 제품 및 우크라이나 키보드 레이아웃과 연결된 지오펜싱 검사를 포함하며, AES-256-CBC를 대체하여 ECDH 키 교환 및 ChaCha20-Poly1305를 조합하여 명령 및 제어 암호화를 강화하였습니다. 수집 모듈도 추가로 암호화폐 지갑 및 브라우저 확장을 목표로 확장되었으며, Discord 및 Signal 아티팩트 수집을 지원합니다. 전달은 ClickFix에 의존합니다. mshta.exe 체인을 통해 32비트 쉘코드 로더를 배포하여, 스틸러를 메모리로 반사적으로 주입합니다.
조사
eSentire 위협 대응 팀은 2026년 4월 금융 부문에서 전체 전달 체인을 관찰했습니다. 그들의 분석은 7개의 핵심 API를 해결하는 32비트 쉘코드 로더를 식별하고, 128바이트 XOR 키를 사용하여 페이로드를 해독하고, aPLib로 압축을 풀고, 반사적 PE 주입을 수행했습니다. 로더는 RecycledGate 및 FreshyCalls 시스템 호출 해결 방법을 구현하고 시스템 호출 번호를 암호화했습니다. 구성 데이터는 ECDH 기반 키 교환을 통해 HTTPS로 배달되었으며, 구성에 액세스하려면 하드코딩된 GUID가 필요했습니다.
완화 조치
수비수는 mshta.exe 신뢰할 수 없는 URL에서 검색된 파일의 실행을 차단하고, 가능한 경우 그룹 정책을 통해 실행 대화 상자를 비활성화해야 합니다. AppLocker 또는 WDAC와 같은 애플리케이션 제어 도구를 사용하여 승인되지 않은 PowerShell 및 HTA 실행을 방지해야 합니다. 보안 팀은 또한 Kaspersky 드라이버 경로 및 우크라이나 키보드 레이아웃 확인을 모니터링해야 합니다. 이는 회피 행동을 나타낼 수 있습니다. 엔드포인트 보호는 매우고 주입 기술 및 API 해싱을 사용하는 로더를 감지해야 합니다.
응답
Amatera Stealer 활동이 감지되면, 영향을 받은 시스템을 즉시 격리하고 악성 프로세스를 중지하며, 주요 및 페이로드 분석을 위한 메모리 덤프를 수집해야 합니다. 가능한 경우 구성을 복구하기 위해 암호화되지 않은 TLS 트래픽을 캡처하고, 유출된 데이터가 있는지 식별합니다. 호스트에서의 자격 증명 및 암호화폐 지갑에 대한 전체 검토를 수행해야 합니다. 조직은 보고된 IOCs 및 관련 공격 기법을 사용하여 환경 내에서 지표 기반 사냥을 시작해야 합니다.
graph TB classDef action fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef process fill:#99ff99 classDef technique fill:#ffeb99 classDef operator fill:#ff9900 action_user_execution[“<b>동작</b> – <b>T1218.005</b> mshta 실행<br/>사용자가 악성 HTML 애플리케이션 실행”] class action_user_execution action process_powershell[“<b>프로세스</b> – PowerShell<br/>Base64 인코딩 명령”] class process_powershell process tool_reflective_loader[“<b>도구</b> – 리플렉티브 로더<br/>32비트 셸코드 다운로드”] class tool_reflective_loader tool technique_reflective_loader[“<b>기법</b> – <b>T1620</b> 리플렉티브 코드 로딩”] class technique_reflective_loader technique technique_xor_obfusc[“<b>기법</b> – <b>T1027.002</b> XOR 난독화”] class technique_xor_obfusc technique technique_aplib_compress[“<b>기법</b> – <b>T1027.007</b> aPLib 압축”] class technique_aplib_compress technique technique_anti_debug[“<b>기법</b> – <b>T1652</b> 분석 환경 탐지”] class technique_anti_debug technique malware_stealer[“<b>악성코드</b> – 스틸러<br/>자격 증명, 시드 문구, 개인 키 수집”] class malware_stealer malware technique_credential_browser[“<b>기법</b> – <b>T1555.003</b> 브라우저 자격 증명”] class technique_credential_browser technique technique_credential_manager[“<b>기법</b> – <b>T1555.004</b> Windows 자격 증명 관리자”] class technique_credential_manager technique technique_credential_manager_file[“<b>기법</b> – <b>T1555.005</b> 비밀번호 관리자”] class technique_credential_manager_file technique technique_credential_chat[“<b>기법</b> – <b>T1552.008</b> 안전하지 않은 채팅 전송”] class technique_credential_chat technique technique_credential_files[“<b>기법</b> – <b>T1552.001</b> 자격 증명 파일”] class technique_credential_files technique technique_search_downloads[“기법 – 다운로드에서 시드 문구 및 키 검색”] class technique_search_downloads technique technique_zip[“<b>기법</b> – <b>T1560</b> 데이터 압축”] class technique_zip technique technique_https_exfil[“<b>기법</b> – <b>T1573.001</b> HTTPS C2 사용”] class technique_https_exfil technique technique_encrypted_exfil[“<b>기법</b> – <b>T1041</b> 암호화된 트래픽 유출”] class technique_encrypted_exfil technique action_user_execution –>|실행| process_powershell process_powershell –>|다운로드| tool_reflective_loader tool_reflective_loader –>|구현| technique_reflective_loader tool_reflective_loader –>|사용| technique_xor_obfusc tool_reflective_loader –>|사용| technique_aplib_compress tool_reflective_loader –>|탐지 회피| technique_anti_debug tool_reflective_loader –>|로드| malware_stealer malware_stealer –>|수집| technique_credential_browser malware_stealer –>|수집| technique_credential_manager malware_stealer –>|수집| technique_credential_manager_file malware_stealer –>|수집| technique_credential_chat malware_stealer –>|수집| technique_credential_files malware_stealer –>|검색| technique_search_downloads malware_stealer –>|압축| technique_zip technique_zip –>|유출| technique_https_exfil technique_https_exfil –>|암호화 사용| technique_encrypted_exfil
공격 흐름
탐지
연관된 명령어 탐지를 통한 의심스러운 LOLBAS MSHTA 방어 회피 동작 (via process_creation)
보기
비정상적인 최상위 도메인(TLD) DNS 요청을 통한 의심스러운 명령 및 제어 (via dns)
보기
Amatera Stealer 4.0.2 Beta를 탐지하기 위한 IoCs (HashSha256): 이 변형의 새로운 기능
보기
듀미 Kaspersky 드라이버 파일의 PowerShell 생성 [Windows Powershell]
보기
Amatera Stealer C2 및 드로퍼 URL의 네트워크 연결 [Windows Network Connection]
보기
mshta 및 PowerShell을 통한 잠재적 악성 실행 [Windows Process Creation]
보기
시뮬레이션 실행
사전 요구 조건: 원격 계측 & 기준점 사전 비행 검사가 통과되어야 합니다.
이유: 이 섹션에서는 탐지 규칙을 트리거하기 위해 설계된 적대기술(TTP)의 정확한 실행을 설명합니다. 명령어와 설명은 식별된 TTP와 직접적으로 관련되어야 하며 탐지 논리가 기대하는 정확한 원격 계측을 생성하는 것을 목표로 해야 합니다.
-
공격 서사 및 명령어:
손상된 호스트에서 PowerShell 실행을 획득한 공격자는 Kaspersky 드라이버 회피 버그를 악용하고자 합니다. 그들은 PowerShell의New-Itemcmdlet을 사용하여 네 개의 미끼 드라이버 파일 (klif.sys,kldisk.sys,klhk.sys,kneps.sys)을C:WindowsSysWOW64drivers에 드랍합니다. 이렇게 함으로써 Sigma 규칙에 적합한 정확한 명령 줄 문자열을 생성하여 경고를 유발하는 동시에 나중에 권한 상승 또는 지속성을 위한 파일을 심을 수 있습니다. -
회귀 테스트 스크립트:
# PowerShell 스크립트로 네 개의 미끼 Kaspersky 드라이버 파일을 생성합니다. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f try { New-Item -Path $fullPath -ItemType File -Force -ErrorAction Stop | Out-Null Write-Host "[+] Created $fullPath" } catch { Write-Warning "[-] Failed to create $fullPath : $_" } } -
정리 명령어:
# 생성된 미끼 드라이버 파일을 제거하여 호스트를 원래 상태로 되돌립니다. $driverPath = "C:WindowsSysWOW64drivers" $files = @("klif.sys","kldisk.sys","klhk.sys","kneps.sys") foreach ($f in $files) { $fullPath = Join-Path -Path $driverPath -ChildPath $f if (Test-Path $fullPath) { Remove-Item -Path $fullPath -Force Write-Host "[+] Removed $fullPath" } }