2024년 11월 현재, IBM X-Force는 유럽 전역(주로 스페인, 독일, 우크라이나)의 피해자에게 Strela Stealer 멀웨어를 전파하는 Hive0145 캠페인을 지속적으로 추적했습니다. 이러한 캠페인에 사용된 피싱 이메일은 실제 인보이스 알림으로, 이전에 유출된 자격 증명을 통해 도용되었습니다. Strela Stealer는 Microsoft Outlook 및 Mozilla Thunderbird에 저장된 자격 증명을 추출하도록 설계되었습니다. 지난 18개월 동안 이 단체는 운영의 효율성을 높이기 위해 다양한 기술을 테스트했습니다. Hive0145는 2022년 말부터 활동한 재정적 동기를 가진 초기 액세스 브로커(IAB)로, 잠재적으로 Strela Stealer의 유일한 운영자일 가능성이 높습니다. Hive0145 캠페인의 지속적인 운영 속도는 유럽 전역에서 잠재적 피해자에 대한 위험이 증가했음을 보여줍니다.
2023년 4월 중순부터 X-Force는 Hive0145 활동의 증가를 추적하기 시작했습니다. Hive0145는 금전적 동기를 가진 초기 액세스 브로커(IAB)일 가능성이 높으며 잠재적으로 Strela Stealer의 유일한 운영자입니다. Strela Stealer는 Microsoft Outlook 및 Mozilla Thunderbird에 저장된 사용자 이메일 자격 증명을 추출하도록 설계된 멀웨어로, 이는 잠재적으로 비즈니스 이메일 침해(BEC)를 유발할 수 있습니다. IAB는 피해자 네트워크 악용을 전문으로 하는 제휴 위협 행위자에게 판매되는 자격 증명 및 기타 데이터를 일상적으로 수집합니다. 그러나 Hive0145가 캠페인을 통해 얻은 액세스 권한을 판매할 수 있는 특정 파트너 네트워크를 보유하고 있는지는 알려지지 않았습니다.
지난 1년 동안 Hive0145는 유럽 전역의 피해자들을 표적으로 삼기 위해 전략, 전술, 절차(TTP)를 발전시키는 데 능숙함을 입증했습니다. 이탈리아, 스페인, 독일, 우크라이나 피해자들은 피해자가 파일을 열도록 유도하는 무기화된 첨부 파일을 계속 받고 있습니다. 이 행위자의 캠페인은 가짜 인보이스나 영수증과 함께 피해자가 해결해야 할 짧고 일반적인 긴급 메시지를 전달하는 경우가 많습니다. 피해자는 첨부된 파일을 로드하자마자 자신도 모르게 Strela Stealer 멀웨어로 이어지는 감염 체인을 실행합니다.
그림 1 Banco Santander 테마 이메일 캠페인
Hive0145는 2024년 상반기 내내 일반 메시지와 가짜 인보이스 및 영수증을 사용하는 이러한 패턴의 수법을 계속 이어 왔습니다. 그러나 2024년 7월 초, 이 단체는 다른 접근 방식을 채택하여 금융, 기술, 제조, 미디어, 전자 상거래 및 기타 산업 전반에 걸쳐 실제 기업의 도난당한 이메일을 무기화하기 시작했습니다. 단순함에서 벗어나는 것은 Hive0145가 성숙한 사이버 운영 능력으로 전환하고 있음을 나타냅니다.
2024년 7월, X-Force는 캠페인 중반에 Hive0145가 배포하는 이메일이 짧고 일반적인 메시지에서 합법적으로 도용된 것으로 보이는 메시지로 교체되는 것을 관찰했습니다. 피싱 이메일은 공식 인보이스 소통 이메일과 정확히 일치했으며, 경우에 따라 원래 수신자 이름으로 직접 발송된 내용도 있었습니다. X-Force는 이러한 이메일이 실제로 금융, 기술, 제조, 미디어, 전자 상거래 및 기타 산업 분야의 다양한 기관에서 보낸 진짜 인보이스 알림임을 확인할 수 있었습니다. 이 단체는 이전 캠페인에서 유출한 자격 증명을 통해 이메일을 수집했을 가능성이 높습니다.
도난당한 이메일을 사용하는 개념은 새로운 것이 아니며, Emotet 단체와 Hive0118(일명 TA577), TA551, TA570과 같은 멀웨어 배포자들이 광범위하게 사용했습니다. 이 캠페인에서는 합법적인 것처럼 보이게 하기 위해 도난당한 이메일에 새로운 스레드를 삽입하는 스레드 하이재킹을 활용했습니다. 수정된 이메일은 이전 피해자들의 해당 연락처로 발송되어, 최종 이메일이 도난당한 이메일에 대한 답장처럼 보이게 함으로써 이메일 스레드를 가로챘습니다. 배포자가 이메일에 추가하는 텍스트는 피해자에게 포함된 첨부 파일이나 URL을 보도록 촉구하는 짧은 답장인 경우가 많습니다.
Hive0145가 사용하는 기법은 탈취한 이메일에 회신 메시지를 추가하는 대신, 원본 콘텐츠는 거의 수정하지 않고 첨부 파일만 (원래 확장자 없이) 원래 파일 이름을 사용하는 악성 페이로드를 포함하도록 바꾼다는 점에서 스레드 하이재킹과 다릅니다. 또한 이메일 본문 내에서 Hive0145는 원래 이메일 발신자의 로컬 부분과 도메인을 모두 새로운 피싱 피해자의 도메인으로 대체하여 이메일을 맞춤화합니다. 이렇게 탈취한 첨부 파일이 포함된 이메일은 대량 피싱 캠페인으로 발송됩니다. 또한 Hive0145는 인보이스를 언급하고 첨부 파일이 포함된 이메일만 선별하는 등 탈취한 이메일을 신중하게 살펴본 것으로 보입니다. X-Force는 2024년 중반부터 독일어, 스페인어, 우크라이나어 사용자를 대상으로 하는 캠페인에서 첨부 파일 하이재킹 기법을 관찰해 왔습니다.
그림 2 탈취한 첨부 파일이 포함된 Deutsche Bahn 인보이스의 도난당한 이메일 원본 예시
2024년 7월 캠페인은 7월 8일 주 내내 이메일 전송량이 저조한 것으로 나타났습니다. Hive0145는 잠시 휴식을 취한 후 7월 22일 주에 대규모 캠페인을 진행한 후 일정 기간 활동을 하지 않았습니다. 2024년 10월 중순, Hive0145는 스페인, 독일, 우크라이나 피해자들을 대상으로 하는 광범위한 첨부 파일 하이재킹 캠페인과 함께 돌아왔습니다. 짧은 7월 캠페인과 달리 이번 캠페인은 계속해서 주목할 만한 양의 이메일을 발송했으며, 대부분은 평일에 발송되었습니다.
그림 3 2024년 10월 말부터 진행 중인 캠페인
금융, 기술, 제조, 미디어, 전자 상거래 및 기타 산업 분야에서 도난당한 이메일은 2024년 11월 초 현재까지 계속해서 무기화되고 있으며, 이는 현재까지 관찰된 최대 규모의 Hive0145 캠페인 중 하나입니다. 진행 중인 캠페인에서 피해자는 암호화된 Strela Stealer DLL을 다운로드하고 실행하는 고도로 난독화된 JavaScript 파일이 포함된 아카이브를 받습니다. 2024년 11월 7일 현재 Hive0145는 진행 중인 캠페인에 우크라이나어 사용자를 포함하고 있으며, 이는 이전에 관찰된 피해자학에 비해 상당한 발전을 시사합니다.
그림 4 우크라이나를 대상으로 하는 도난당한 원본 인보이스 이메일 예시
Hive0145가 첨부 파일 하이재킹을 통한 전송량 증가와 함께 새로 도난당한 이메일을 꾸준히 공급한다는 사실은 Hive0145가 피싱 이메일을 수집, 무기화, 패키징 및 전송하는 데 자동화를 채택했음을 시사합니다. 이 단체는 유럽 전역에서 스페인, 독일, 우크라이나 피해자들을 광범위하게 착취하는 방식을 계속 선호하고 있습니다.
Hive0145는 점점 더 정교해지는 Strela Stealer 제공 방법을 채택하려는 노력의 측면에서 다른 멀웨어 배포자들 사이에서 두각을 나타내고 있습니다. 이러한 정교함은 Emotet, Pikabot, Qakbot 등 다른 성공적인 대규모 악성코드 배포자와도 관련이 있는데, 이는 랜섬웨어 배포로 이어지는 경우가 많았습니다. 다음은 시간 경과에 따라 Hive0145에서 사용된 주요 기법을 분석한 것으로, 일부는 간략하게 테스트되고 일부는 완전히 채택되었습니다.
X-Force가 관찰한 첫 번째 Strela Stealer 캠페인은 2022년 말 DCSO(Deutsche Cyber-Sicherheitsorganisation)의 블로그에서 처음으로 보고된 바와 같이 다중 언어 파일을 사용했습니다. 이러한 파일은 여러 가지 유효한 형식을 가지며 여러 애플리케이션에서 파싱할 수 있습니다. 동일한 파일을 HTML로 렌더링하여 미끼 인보이스를 표시할 뿐만 아니라, 유효한 DLL로 렌더링하여 Strela Stealer를 구현할 수 있습니다. 이것은 보안 솔루션을 우회하려는 시도에 있어 꽤 드문 기법입니다.
2023년 내내 여러 캠페인에서 악성 Strela Stealer 바이너리에 유효한 코드 서명 인증서를 사용했습니다. 예를 들어, 2023년 4월에 시작된 스페인어 피해자를 대상으로 한 캠페인에는 브라질의 소프트웨어 회사인 Tecfinance Informatica E Projetos De Sistemas Ltda가 서명한 유효한 인증서가 포함된 페이로드가 포함되어 있었습니다.
그림 5 2023년 캠페인에 사용된 브라질 회사 인증서
2024년 5월 5일, X-Force는 관련 당사자에게 조사 결과를 알리기 위한 조치를 취했으며, 이후 인증서는 취소되었습니다.
2023년 중반 이탈리아를 대상으로 한 캠페인에서는 다른 인증서를 사용했습니다.
그림 6 2023년 중반에 이탈리아 피해자를 표적으로 삼기 위한 또 다른 도난당한 인증서
Strela Stealer 피싱 캠페인은 또한 표적 도메인 이름을 포함하도록 파일 이름을 조정했습니다. 파일 이름은 조직 또는 회사의 이름과 동일한 경우가 많으며, 이는 잠재적으로 신뢰성을 확보하기 위한 시도일 수 있습니다. 아래 예시는 2023년에 발생한 인보이스 또는 결제 영수증으로 위장한 피싱 이메일입니다.
그림 7 Factura 테마 이메일 캠페인
이메일에서 알 수 있듯이 첨부 파일은 암호화된 ZIP 파일이며, 비밀번호는 이메일마다 조금씩 다릅니다. 기본 이메일 필터링 및 샌드박스 솔루션으로는 이러한 파일을 검사하거나 폭파할 수 없는 경우가 많기 때문에 위협 행위자는 이메일 첨부 파일을 암호화합니다.
Strela Stealer는 PE 실행 파일에 일반적이지 않은 확장자를 사용하기도 했습니다(예: .exe 대신 .com 사용).
이는 Microsoft Windows 운영 체제에서 파일을 실행 파일로 표시하기 위해 세 가지 확장자(.exe, .com, 및 .pif.)를 사용할 수 있는 조건을 활용합니다.
콘텐츠가 실행 가능한 PE 파일인 경우 Microsoft Windows는 해당 파일을 열면 자동으로 실행합니다. 흔하지 않고 알려지지 않은 확장자를 사용함으로써 캠페인은 간단한 안티바이러스 솔루션이나 피해자의 의심을 피할 수 있습니다. 동일한 페이로드를 사용한 이전 캠페인에서도 .pif 확장자를 활용한 것이 관찰되었습니다.
Strela Stealer 캠페인은 악성 실행 파일이 직접 첨부된 ZIP 아카이브 외에도 Batch, JavaScript 또는 PowerShell과 같은 난독화된 스크립트를 사용하여 페이로드를 다운로드하거나 삭제하는 경우가 많습니다.
2024년 내내 캠페인은 주로 이러한 난독화된 스크립트를 사용하여 PowerShell 명령을 실행하여 WebDAV 서버에 연결하고 암호화된 DLL을 다운로드 및 실행했습니다.
WebDAV 스테이징 서버는 이름과 해시가 서로 다른 많은 수의 DLL을 호스팅합니다. 이는 X-Force가 'Stellar Crypter'로 식별한 암호화폐를 사용하여 구축된 것으로 보이며, 최소 2023년 5월부터 Hive0145에서만 독점적으로 사용해 온 것으로 추정됩니다. 'Stellar Loader'로 식별된 악성 바이너리에는 암호화된 Strela Stealer 페이로드가 포함되어 있습니다.
Stellar Loader는 최소 2023년 4월부터 사용된 암호화폐로, 주로 Strela Stealer 페이로드의 후속작이 될 것입니다. Stellar 샘플은 일반적으로 고도로 난독화되어 있으며 제어 흐름 난독화와 같은 기술을 사용하며 분석 및 시그니처 생성을 방해하는 대량의 정크 명령을 포함합니다. Stellar의 페이로드는 XOR 암호화가 적용되어 Stellar 로더 바이너리의 .data 섹션에 저장됩니다. 암호화된 페이로드 데이터 앞에는 XOR 키가 있는데, 최근 샘플에서는 대문자와 소문자로만 구성되며 길이가 수천 자에 달할 수 있습니다.
실행 시 Stellar Loader는 XOR과 저장된 키를 사용하여 페이로드 데이터를 해독합니다. 복호화 과정에는 하드코딩된 단일 바이트 키를 사용하는 추가적인 XOR 라운드가 포함될 수도 있습니다. Stellar Loader 코드 난독화의 일환으로 코드 내의 암호 해독 알고리즘은 수백 개의 작업을 포함하도록 확장되는 경우가 많습니다. 그러나 이러한 연산의 대부분은 서로를 상쇄하며, 복잡한 알고리즘으로 보이는 것을 간단한 XOR 연산으로 축소할 수 있습니다. 아래 스크린샷은 난독화를 최소화한 Stellar Loader 버전으로, 로더 코드 및 암호 해독 알고리즘의 구조를 쉽게 확인할 수 있습니다.
최신 버전의 로더에서는 암호화된 페이로드 데이터 다음에 VirtualAlloc과 같이 로더 코드에 필요한 API 이름 목록이 포함된 추가 암호화된 블록이 옵니다. 로더는 페이로드와 동일한 키를 사용해 이 블록을 복호화하지만, 추가적인 단일 바이트 XOR은 없습니다. 로더는 블록에 있는 API 이름을 사용하여 해당 API 주소를 검색할 수 있습니다.
페이로드와 API 목록의 암호가 해독되면 Stellar는 VirtualAlloc을 사용하여 메모리에 공간을 할당하고 할당된 주소에 페이로드 PE를 매핑합니다. 그런 다음, 가져오기 로드 및 재배치 섹션(.relocs) 처리와 같은 표준 PE 로드 단계를 수행하고 마지막으로 진입점 주소에서 페이로드를 실행합니다.
Strela Stealer는 지난 2년 동안 기능이 거의 변경되지 않았습니다. 2022년 말 DCSO가 보고한 초기 버전을 시작으로, 이 스틸러의 주요 목표는 두 가지 일반적인 이메일 클라이언트인 Microsoft Outlook과 Thunderbird에서 이메일 자격 증명을 유출하는 것입니다. 이는 모든 변형에서 동일하지만, 최신 변형은 이전 버전보다 Microsoft Outlook 자격 증명을 검색하기 위해 더 많은 레지스트리 키를 지원합니다.
Strela Stealer는 두 이메일 클라이언트의 자격 증명을 도용하는 두 가지 함수를 실행합니다.
이메일 클라이언트
Thunderbird
Microsoft Outlook
위치
파일 시스템
레지스트리
경로
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Outlook의 경우 Strela Stealer는 특히 다음의 레지스트리 값을 찾습니다.
데이터는 형식이 지정되고 Thunderbird 데이터 및 Outlook 데이터의 경우 각각 'FF' 또는 'OL' 문자열이 앞에 추가됩니다. 그런 다음, 다음과 같은 GUID 문자열을 나타내는 정적 XOR 키로 암호화됩니다.
그러고 나서 Strela Stealer는 각 이메일 클라이언트에 대한 POST 요청을 하드코딩된 C2 서버로 보냅니다.
응답은 위와 동일한 XOR 키를 통해 해독됩니다. Strela Stealer는 요청이 실패하거나 'KH'(2023년 버전), 'ANTIROK'(2024년 버전) 또는 'CHOLLIMA'(2024년 11월 버전) 문자열을 수신할 때까지 1초 간격으로 POST 요청을 계속 전송합니다.
2024년 10월 현재 Strela Stealer에는 두 가지 유출 기능이 더 포함되어 있습니다. 첫 번째는 호스트에서 시스템 정보를 수집하고 다음 명령을 통해 파일에 기록합니다.
두 번째 유출 기능은 COM 개체를 사용하여 피해자 시스템의 'AppsFolder'(가상 폴더, 'Applications'로 표시됨)에서 설치된 애플리케이션 목록을 열거합니다.
삭제된 파일과 설치된 애플리케이션 목록은 다른 파일과 동일한 방식으로 유출되기 전에 읽고 암호화합니다. 이들은 각각 'SI' 및 'LA' 식별자를 사용하여 C2 서버로 전송됩니다.
Strela Stealer는 피해 호스트의 키보드 언어를 확인하여 언어 검사를 구현하기 시작했습니다. 2024년 내내 버전은 다음 키보드 언어 중 하나를 사용하는 호스트에서만 실행됩니다.
11월 초, Hive0145는 도난당한 우크라이나어 이메일도 배포하기 시작했고 언어 확인 로직을 약간 수정하여 키보드 레이아웃 목록에 우크라이나어(0x422)를 추가했습니다. 또한 개발자는 설치된 모든 키보드 레이아웃을 포함하기 위해 GetKeyboardLayoutList API를 사용하도록 전환했습니다. 일치하는 언어가 없는 경우 Strela Stealer는 GetLocaleInfoA 의 사용자 기본 로케일 결과를 호주 및 우크라이나 코드인 'AU' 및 'UA'와 비교하여 2차 검사를 수행합니다. 개발자가 반환된 값의 엔디안(endianness)을 확신하지 못했거나, 호주를 대상으로 할 의도가 없었을 수도 있습니다. 전반적으로 이러한 변경으로 인해 Strela Stealer에 감염될 수 있는 시스템의 범위가 넓어졌습니다.
이전에는 멀웨어가 실행된 후 사용자에게 눈에 띄지 않는 오류 메시지를 표시하여 의심을 사지 않도록 했습니다. 또한 파일이 손상되어 열 수 없다는 메시지가 설치된 키보드에 따라 다른 언어로 표시됩니다. 최신 버전은 실행 시작 후 5초 후에 표시되는 보다 보편적인 오류 메시지 'Err 100'을 사용합니다.
2023년 6월, X-Force는 이탈리아를 겨냥한 단일 Hive0145 캠페인을 관찰했는데, 이 캠페인은 .NET으로 완전히 다시 작성된 새로운 스틸러 변형을 출시했습니다. 이 변형은 이전 캠페인과 마찬가지로 유효한 코드 서명 인증서를 사용했습니다. 멀웨어를 다른 언어로 다시 구현하는 것은 위협 행위자의 상당한 노력을 보여줍니다. 문자열, 함수 이름 및 제어 흐름을 숨기기 위해 개발자는 상용 .NET용 'Aldaray Rummage Obfuscator'를 사용했습니다. 아래 스크린샷은 Microsoft Outlook 레지스트리 키에서 IMAP 자격 증명에 액세스하고 보호를 해제하는 데 사용되는 코드를 보여줍니다.
특히 상용 난독화 도구에는 라이선스용 워터마크가 포함되어 있습니다.
위의 샘플은 이탈리아어로 다음과 같은 오류 메시지를 표시합니다.
Hive0145는 이메일 자격 증명 수집에 중점을 두고 있기 때문에 더 광범위한 자격 증명과 데이터를 표적으로 삼거나 초기 액세스를 위한 후속 페이로드를 용이하게 하는 다른 스틸러 또는 봇넷 멀웨어 운영자와 차별화됩니다. Hive0145가 훔친 이메일을 첨부 파일 하이재킹에 사용하는 것은 도난당한 이메일 자격 증명의 일부가 추가 배포를 위해 합법적인 이메일을 수집하는 데 사용될 수 있음을 나타냅니다. Hive0145가 사용한 도난 이메일과 행위자가 만든 이메일 모두 주로 인보이스를 테마로 하고 있어 금전적 동기가 있을 가능성이 있습니다. Hive0145는 추가 비즈니스 이메일 침해를 목적으로 훔친 이메일을 제휴 파트너에게 판매할 수 있습니다.
Hive0145는 빠르게 성장하고 있는 사이버 범죄 위협 행위자로, 유효한 이메일 자격 증명을 얻기 위해 피해자를 감염시키려 합니다. 관찰 결과에 따르면 초기 캠페인을 통한 이메일 자격 증명 도용은 이후 첨부 파일 하이재킹 캠페인에 사용된 유효한 이메일의 추가 도난으로 이어졌습니다. Stela Stealer 멀웨어는 Hive0145가 이메일 자격 증명을 유출하는 데 계속해서 효과적인 도구로 사용되고 있습니다.
Hive0145의 이메일 캠페인이 에뮬레이트하는 산업이 매우 다양하기 때문에 유럽 전역의 상업 조직이 표적이 될 수 있는 잠재적 위험이 높아집니다. 참고로 이탈리아어, 스페인어, 독일어 또는 우크라이나어를 사용하는 지역의 조직은 Hive0145 캠페인의 즉각적인 위험에 처할 수 있습니다. X-Force는 수신한 이메일 첨부 파일에 대해 경계를 강화하고 전송될 것으로 예상되는 파일 형식을 주의 깊게 검토할 것을 권장합니다.
X-Force는 조직에 다음을 수행할 것을 권장합니다.
지표
지시기 유형
컨텍스트
03853c56bcfdf87d71ba
SHA256
Stellar Loader(2024년 10월)
e50bea80513116a1988822
SHA256
Stellar Loader(2024년 5월)
2cac42735170cd3f67111807
SHA256
Stellar Loader - 최소 난독화(2024년 1월)
9a032497b82c3db8146cb6
SHA256
Strela Stealer 페이로드
e4a7ad38aaea4bd27c32c57
SHA256
Strela Stealer 페이로드
2f7ac330e100b577748bb34
SHA256
Stellar Loader(2024년 11월)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Strela Stealer .NET 변형
