2024년 7월 2일, Kimsuky 그룹이 공격에 사용한 것으로 보여지는 BabyShark 관련 outlook stealer 내용을 트위터에서 발견했다. 본 글에서는 해당 stealer를 분석한다.
먼저, Outlook stealer는 총 2개의 url로 유포되었다.
- hxxps://www[.]evangelia[.]edu/img/503/outlook/1outlook
- hxxps://www[.]evangelia[.]edu/img/503/outlook/2outlook
내용은 각각 아래와 같다.
두 파일의 내용은 내부 powershell 코드에 약간의 차이만 있을 뿐, 나머지는 동일하다. 공격 대상 PC의 %APPDATA% 폴더 아래에 Microsoft 폴더를 생성한다. 이후 생성한 Microsoft 폴더 아래에 Speech 폴더를 생성한다. 이후 appdata 폴더 아래에 default.txt 파일을 생성하고, 코드 안에 존재하는 powershell 코드를 base64 decode해 저장한다.
이후 해당 파일을 appdata\Microsoft\Speech 아래에 outlook.ps1 으로 저장한다. 또한, 해당 outlook.ps1 파일이 존재하면 삭제하는 루틴도 포함해 실행 이후 자기 자신을 삭제한다.
내부에 포함하고 있는 powershell 코드는 실행 시 outlook 관련된 폴더 및 파일을 탐색한다. 먼저, C:\ProgramData\OLManage 폴더를 기준으로 로그 파일을 탈취한다. 또한, outlook의 Inbox, Sent, Drafts, Junk, Trashed 폴더를 확인하고 해당 폴더에 존재하는 데이터를 탈취한다.
이후 탈취한 데이터들을 지정된 형식에 맞춰 폴더 아래에 파일로 저장한다. 이후 저장된 파일을 C2 서버로 업로드한다.
- 예시형식: C:\ProgramData\OLManage\2024.7.03\abcd@test.com_Inbox_0.msg
- 예시형식: C:\ProgramData\OLManage\yyyy.MMM.dd\{account}_{folder}_{mailid}.msg
파일 업로드 이후에는 저장한 파일을 삭제하여 발자취를 감춘다. 또한, 위 행위는 1시간마다 한 번씩 실행된다.
악성코드가 유포된 사이트는 ftp가 열려있는 상태로 매우 취약한 것으로 보여진다. 실제로 ftp 연결을 시도했을 때, anonymous 모드로 연결되는 것을 볼 수 있었다. 또한, wordpress로 제작된 사이트인데 wp-admin 경로도 직접적으로 노출되어 있어 관리자 계정이 탈취당한다면 공격자가 웹 사이트 전체를 컨트롤할 수 있게 된다.
'Analysis' 카테고리의 다른 글
| 77. Kimsuky's TRANSLATEXT (0) | 2024.07.30 |
|---|---|
| 76. Lazarus's attack using pypi (0) | 2024.07.13 |
| 74. Correlation APT42 & Lazarus (0) | 2024.06.04 |
| 73. Kimsuky's 애니챗_20240511.xlsx.lnk (0) | 2024.05.13 |
| 72. Lazarus's Python malware (0) | 2024.05.13 |
