PXA Stealer 탐지: 베트남 해커, 유럽 및 아시아 공공 및 교육 부문 공격
목차:
높은 회피 수단을 활용한 최근 사이버 공격의 여파로 Strela Stealer 중앙 및 남서부 유럽에서 정보 탈취 프로그램 이 주목받고 있으며, 유럽 및 아시아 전역의 정부 및 교육 부문 내 민감한 데이터를 타겟으로 하고 있습니다. 수비자들은 베트남어를 사용하는 상대가 새로운 파이썬 기반의 악성코드인 PXA Stealer를 활용하여 진행 중인 정보 탈취 캠페인을 관찰했습니다.
PXA Stealer 탐지
에 따르면 2025년 구글 클라우드 보안 예측에 따르면, 정보 탈취 악성코드의 정교함과 효과성의 우려스러운 증가가 있으며, 내년에는 더욱 증가할 것으로 예상됩니다. 새로운 정보 탈취 프로그램 PXA Stealer를 사용하는 현재 캠페인은 수비자들에게 악성코드의 고급 기능과 광범위한 공격 범위 때문에 초고속 반응성을 요구합니다. SOC Prime의 집단 사이버 방어를 위한 플랫폼은 수비자들이 PXA Stealer를 활용한 사이버 공격을 저지하는 데 도움이 되는 탐지 알고리즘 세트를 제공합니다.
모든 탐지는 MITRE ATT&CK®에 매핑되어 있으며, 관련 사이버 위협 컨텍스트, 맞춤형 CTI 실행 가능한 메타데이터 등으로 강화되며, 30개 이상의 SIEM, EDR, Data Lake 솔루션에서 플랫폼 간 위협 탐지에 적용될 수 있습니다. 누르십시오 탐지 탐색 하여 PXA Stealer 탐지를 위한 특정 벤더에 종속되지 않은 Sigma 규칙에 도달하십시오.
PXA Stealer 분석
Cisco Talos 연구원들은 베트남어를 사용하는 해커들이 유럽(스웨덴과 덴마크 포함) 및 아시아의 국가 기관과 교육 조직을 타겟으로 하는 새로운 정보 탈취 캠페인을 확인했습니다. 상대는 새로 발견된 파이썬 기반의 악성코드인 PXA Stealer를 활용하여 온라인 계정, VPN, FTP 클라이언트, 금융 정보, 브라우저 쿠키 및 게임 응용 프로그램의 정보를 추출하도록 설계되었습니다. 주목할만한 PXA Stealer의 기능은 피해자의 브라우저 마스터 비밀번호를 해독하여 다양한 온라인 계정의 저장된 자격 증명을 추출하는 것입니다.
악성 스크립트와 PXA Stealer를 호스팅하는 도메인이 베트남의 SEO 서비스 제공업체에 속해 있지만, 공격자들이 도메인을 침해했는지 또는 의도적으로 사용했는지는 여전히 불분명합니다. 그러나 스틸러 프로그램 내에 있는 베트남어 주석과 베트남 국기를 아이콘으로 한 ‘Lone None’이라는 이름의 하드코딩된 텔레그램 계정을 통해 베트남과의 연관성이 명백합니다.
조사에 따르면, 상대는 데이터 유출을 위해 텔레그램 봇을 활용했으며, 페이로드에는 그들의 제어 하에 있는 텔레그램 봇 토큰과 채팅 ID가 포함되어 있습니다. 또한, 연구원들은 Facebook과 Zalo 계정, SIM 카드, 자격 증명, 돈세탁 데이터를 거래하는 ‘Mua Bán Scan MINI’라는 지하 텔레그램 채널에서 공격자의 활동을 발견했습니다. 상대는 사용자 계정 관리, 프록시 서비스, 및 배치 계정 생성을 위한 도구를 홍보하는 ‘Cú Black Ads – Dropship’ 지하 텔레그램 채널과 연관되어 있으며, 그들의 CoralRaider 갱단과의 연결은 여전히 불확실합니다.
주목할 만한 것은 해커들이 핫메일 배치 생성기, 이메일 마이너, 쿠키 수정 도구를 포함한 여러 계정을 관리하기 위한 자동화 도구를 그룹에 공유하여 조직적인 노력을 보여주며 사용자들을 위한 튜토리얼과 함께 YouTube 채널을 통해 홍보됩니다.
감염 흐름은 숨겨진 폴더와 악성 Rust 로더 실행 파일을 포함하는 ZIP 첨부 파일이 있는 피싱 이메일로 시작됩니다. 아카이브를 추출하면 피해자의 기계에 드롭되며, Rust 로더의 실행은 배치 스크립트를 트리거하여 Glassdoor 지원서 양식 인지 문서를 열기 위해 작동하며, 페이로드를 다운로드하고 실행하여 호스트에서 실행 중인 바이러스 백신 프로그램을 비활성화한 다음, 스틸러가 배포되도록 합니다.
PXA Stealer는 Google Chrome 및 Chromium 기반 브라우저와 같은 브라우저의 비밀번호와 쿠키 같은 민감한 데이터를 보호하는 브라우저 마스터 키를 해독할 수 있습니다. 이렇게 하여 공격자가 저장된 자격 인증 및 기타 브라우저 정보를 액세스할 수 있습니다. 또한 브라우저가 Mozilla Firefox와 같은 경우의 사용자 프로필 경로를 profiles.ini 파일을 통해 추출하여 저장된 비밀번호나 기타 데이터를 조회합니다. 추가로 이 스틸러는 ‘webappsstore.sqlite’ 데이터베이스에서 신용카드 정보를 타겟으로 합니다.
PXA Stealer의 주요 기능 중 하나는 Facebook 쿠키를 훔쳐 세션을 인증하고 Facebook Ads Manager 및 Graph API에서 추가 계정 및 광고 관련 정보를 액세스할 수 있도록 사용하는 것입니다. 이 캠페인은 배치 스크립트의 고급 난독화 기법을 활용하여 감염 존재를 감지하기 어렵게 만드는 점에서 주목할 만합니다.
다양한 비즈니스 수직 및 서로 다른 지역의 조직을 타겟으로 하는 정보 탈취 캠페인의 수가 증가함에 따라 데이터 도난 위험을 최소화하기 위한 사전 방어의 강화가 중요합니다. SOC Prime의 완전한 제품군 은 인공지능 기반의 탐지 엔지니어링, 자동화된 위협 사냥, 및 고급 위협 탐지를 통해 보안 팀이 새로 떠오르는 위협에 앞서거나 초기 공격 단계에서 환경 내의 악성코드의 존재를 식별할 수 있으며, 조직의 사이버 탄력성을 향상시키도록 합니다.
