많은 기능을 갖고 다시 등장한 크로노스 멀웨어
Kronos Malware Reemerges with Increased Functionality
[크로노스 멀웨어의 진보 / The Evolution of Kronos Malware]
크로노스 멀웨어는 제우스 멀웨어의 소스코드에서 유래되었다고 이야기 됩니다. 제우스는 2011년도 러시아 지하조직에 판매되었으며, 크로노스는 계속 진화하면서 2014년도에 나타난 새로운 변종이 나타났으며 다크넷에서 7,000 달러에 판매되었습니다. 크로노스는 전형적으로 다른 멀웨어를 다운로드 받는데 이용이 됩니다. 그리고 공격벡터는 피해자들이 다른종류의 멀웨어를 다운로드 받게 만드는데 이용됩니다.
몇 년간 활동을 하지 않던 크로노스 뱅킹 트로이바이러스는 2018년에 오시리스라는 이름으로 다시 등장하였습니다. 그리고 뱅킹 트로이 캠페인으로 사용되었습니다. 비록 이 2가지 변종 바이러스 사이에 차이점이 있을지라도, 오시리스와 크로노스 둘다 정보를 훔치는 것에 있어서는 같은 기술을 공유했습니다.
2022년도 말에 IBM Security Trusteer는 크로노스가 랜섬웨어와 결합하여 멕시코에서 활동이 증가한 것을 발견하였습니다. 이 공격은 금융기관에 악성 크롬 확장프로그램을 통해 자바스크립트 웹인젝션을 실행하는데 사용되었습니다.
The Kronos malware is believed to have originated from the leaked source code of the Zeus malware, which was sold on the Russian underground in 2011. Kronos continued to evolve and a new variant of Kronos emerged in 2014 and was reportedly sold on the darknet for approximately $7,000. Kronos is typically used to download other malware and has historically been used by threat actors to deliver different types of malware to victims.
After remaining dormant for a few years, the Kronos banking trojan reemerged in 2018, under the name Osiris, and was used in a banking trojan campaign. While there were some differences between the two strains, both Osiris and Kronos shared the same technique for stealing information.
Kronos made yet another resurgence — this time combined with ransomware — and in late 2022 IBM Security Trusteer saw an increase in Kronos malware activity in Mexico. In these attacks, it was used to launch JavaScript web-injects on financial institutions with a malicious chrome extension.
[멕시코에 일어나는 크로노스 공격에 대한 이해 / A Brief Review of the Kronos Malware Attack in Mexico]
2022년도 크로노스 멀웨어로 발견된 첫 피해사례는 스페인어로 '보안' 이라고 불리는 악성 크롬 프로그램을 통해 자동으로 설치되는 것 이었습니다.
The first victim of the 2022 Kronos malware had the malware automatically installed through a malicious chrome extension called “Seguridad” (Security).
이것은 크롬 확장파일을 사용하여 금융기관들에게 웹 인젝션 공격을 하는데 활용된 처음 발견된 사례입니다.
This is the first time we have observed malware utilizing a chrome extension with web injects on financial institutions.
크로노스 멀웨어는 컨피그레이션 파일을 활용하여, 피해자들의 웹 브라우징 세션 내에서 목표 대상이 되는 페이지를 확인하기 위해서 사용하였습니다. 일단 피해자들이 타겟 페이지들 중에 한 곳에 들어가면, 멀웨어는 외부 리소스를 호출하기 시작하고, 악성 자바스크립트 페이로드를 주입할 것 입니다. 만약 유저들이 목표대상으로 삼은 멕시코 금융기관 들 중에 하나에 접근을 한다면, 확장파일은 “8vZ9d1-ad.js” 또는 “ok.js” 로 불리는 자바스크립트 파일을 주입합니다.
이후 이 페이로드는 피해자들의 장치에서 민감한 정보를 훔치는데 사용될 수 있습니다.
The Kronos malware utilizes a configuration file to identify targeted pages within a victim’s web browsing session. Once a victim navigates to one of these pages, the malware will initiate a call to an external resource and inject a malicious JavaScript payload. Once the malicious chrome extension is installed, if the user attempts to access one of the targeted Mexican financial institutions, the extension will inject malicious JavaScript with the name: “8vZ9d1-ad.js” or “ok.js”:
This payload can then be used to steal sensitive information from the victim’s device.
[스텔스 웹 인젝션의 기능들 / Stealthy Web Injection Capabilities]
크로노스 멀웨어의 웹인젝션들 중에 하나를 조사하는 동안, 공격자들의 주요 목표는 로그인 신분정보 (로그인 아이디, 패스워드) , 모바일 토큰, OTP 토큰 등등 피해자들의 민감한 정보를 훔친다는 것이 발견되었습니다. 이렇게 도난된 정보의 일부를 공격자들은 피해자 계정에 허가되지 않은 접근기회를 얻거나 다른 수상한 활동들을 수행하기 위해서 사용합니다. 웹 인젝션의 예시는 아래와 같습니다.
During an investigation of the Kronos malware’s web-injects, it was found that the main goal of the attacker is to steal sensitive information from the victim, such as login credentials (username, password), mobile tokens, OTP tokens, and more. These stolen pieces of information can then be used by the attacker to gain unauthorized access to the victim’s accounts or to commit other fraudulent activities. Example for Web-Inject:
일단 크로노스 멀웨어로 감염이 되면, 공격자들은 목표로 삼은 웹페이지에 유저들이 그들의 신분정보를 넣는 순간을 기다립니다. 이 때에 멀웨어의 자바스크립트 컴포넌트는 피해자들의 웹 브라우저에 들어가기 시작합니다. 가짜로 로딩되는 애니메이션을 보여주면서 (보통은 로딩 사진) 유저들의 정보가 도난되고 있다는 사실을 숨기려 합니다. 공통적으로 사용되는 이 멀웨어 기술은 발각될 가능성을 줄이고, 피해자들의 민감한 정보를 성공적으로 훔칠 수 있는 가능성을 높이는데 사용이 됩니다.
Once a user is infected with the Kronos malware, the malware may wait for the user to enter their login credentials on a targeted website. At this point, the JavaScript component of the malware will begin to inject itself into the victim’s web browser, displaying a fake loading animation (commonly known as a “loader gif”) in order to obscure the fact that the user’s information is being stolen. This technique is commonly used by malware to avoid detection and increase the likelihood of successfully stealing sensitive information from the victim:
멀웨어는 유저의 신분정보를 확인하는 것처럼 속이면서, 전화번호와 같은 민감한 추가정보를 탈취합니다. 공격자들은 이후 이 정보를 사악한 목적으로 사용을 합니다.
주요 자바스크립트 기능:
The malware may then prompt the user for additional sensitive information, such as a telephone number, under the guise of verifying the user’s identity. This information is then used by the attacker for various nefarious purposes.
Main JavaScript function:
|
Ask_user
|
Send command forgot username
|
|
Ask_pass
|
Enter password
|
|
Ask_mobile_access_token
|
Ask user to enter access mobile token
|
|
Ask_mobile_confirmation
|
Ask mobile token confirmation
|
|
Ask_otp_access_token
|
Ask for OTP for physical token
|
|
Ask_calc_access_token
|
Second confirmation for token
|
|
Ask_calc_confirmation_token
|
Third confirmation for token
|
|
Ask_email
|
Ask for email address
|
|
Ask_info
|
Request for landline and cellphone
|
일단 멀웨어가 완전하게 시작하면, 다양한 기능들이 진행됩니다. send_home 기능을 어떤 훔친정보를 공격자들 서버로 빼돌리게 하기 위해 사용합니다. 일반적으로 피해자들의 웹 브라우징 세션 동안, 멀웨어를 통해 모은 민감한 데이터를 다른 곳으로 전송하기 위해서 이 기능이 사용되어 집니다.
Once the malware has fully initialized and its various functions have been enabled, it will use the “send_home” function to exfiltrate any stolen information back to the attacker’s server. This function is typically used to transmit sensitive data that has been collected by the malware during the victim’s web browsing session:
크로노스에서 사용된 send_home 기능은 훔친 정보를 공격자의 C&C서버로 전송하기 위해서 사용됩니다. 파일 전송시 고유의 토큰과 정보를 훔쳤던 금융기관과의 링크를 포함하게 됩니다 이는 공격자들이 쉽게 훔친정보들의 소스를 확인하고 멀웨어의 공격 진행현황을 추적하게 합니다.
The “send_home” function is used by the Kronos malware to transmit stolen information to the attacker’s command and control (C&C) server. This transmission typically includes a unique token and a link to the financial institution from which the information was stolen. This allows the attacker to easily identify the source of the stolen information and track the progress of the malware’s activities.
Example: hxxps://tomolina.top/uadmin/gate.php?pl=token&link=hsbc_mx1.1
[C&C Panel (uadmin)]
유어드민 패널은 공격자들이 멀웨어 공격캠페인의 다양한 측면을 관리하기 위해서 사용하는 C&C 인터페이스 입니다. 이를 통해 공격자들은 인젝션 및 다양한 옵션들을 을 구성하고 피해자들로부터 모은 다양한 정보들을 관리합니다. 로그인 크리덴셜, 모바일 토큰, OTP 코드 등이 피해정보이며, 이는 공격자들에 의해서 악의적인 목적으로 사용됩니다.
The “uadmin” panel is a C&C interface used by attackers to manage various aspects of their malware campaigns. It allows the attacker to configure web injects and other options, as well as view sensitive information that has been collected from victims. This information, which may include login credentials, mobile tokens, and OTP codes, is typically used by the attacker for various nefarious purposes.
[Inside C&C (uadmin):]
유어드민 패널의 소스코드는 과거에 유출이 된 적이 있었는데 아래는 관리코드의 하나의 예시 입니다.
The source code for the “uadmin” panel has been leaked in the past, and below is an example of the main admin code:
Main page:
Main Token Page:
이 페이지는 감염된 피해자들의 아래의 로그들을 포함합니다.
- 목표대상이 된 은행과 통신한 피해자의 마지막 접속시간
- 피해자들의 IP 주소
- 장치 정보( 운영 시스템과 웹 브라우저 타입)
- 공격자들이 설정하였던 타겟은행의 이름
- 피해자들의 로그인정보를 보여주는 손쉬운 데이터
- 각 페이지에 나타나는 기존 또는 새롭게 설치된 봇들을 '우회기능'
- 유저들이 신분정보를 입력한 후에 페이지에 접근을 막는 '제한기능'
- C&C 소유자의 메모
This page contains logs of infected victims, including:
- The last time the victim connected to the targeted bank.
- The victim’s IP address.
- Device information (e.g., operating system and web browser type).
- The name of the targeted bank that the attacker has configured.
- Quick data showing the victim’s login credentials.
- The “redirect” feature, which redirects all existing and new bots to present links on each page.
- The “block” feature, which blocks access to the page after the user enters their credentials.
- Comments from the C&C owner.
C&C 관리 페이지는 공격자들이 캠페인 과정에서 볼 수 있는피해자들의 데이터와 통계자료를 모을 수 있는 확실한 뷰를 제공합니다. C&C 주요 기능은 아래와 같습니다.
- 수많은 감염된 봇들과 메트릭스에 대한 통계
- IP주소와 다른 세부사항을 포함한 감염된 봇의 목록
- 감염된 봇은 원격으로 통제하는 기능
- 훔친 정보의 로그를 추출하는 기능
- 훔친 멀웨어의 컴포넌트에 대한 설정
- 멀웨어가 목표 대상으로 삼지 않은 웹페이지의 블랙리스트
The C&C admin page provides a robust view of victim activity and is an efficient way for attackers to collect victim data and user statistics that show the progress of their campaign. The C&C main features include:
- Statistics on the number of infected bots and other metrics.
- A list of infected bots, including their IP addresses and other details.
- The ability to remotely control infected bots.
- The ability to export logs of stolen information.
- Settings for the stealer component of the malware.
- A blacklist of web pages that the malware should not target.
[대상으로 삼은 금융기관 : 멕시코 지역 / Targeted Financial Institution: Mexico Region]
멕시코 지역 금융기관에서 관찰된 공격동안, 우리는 다양한 침해지표를 발견했습니다.
IOC:이 경우, 우리는 8vZ9d1-ad.js에 놓여진 자바스크립트 컨피그레이션 파일에서 성공적으로 침해지표를 발견했습니다.
During an observed attack on a Mexico region financial institution, we identified multiple indicators of compromise.
IOC:In this instance, we were able to successfully retrieve Indicator of Compromise (IOC) from the JavaScript configuration file located at “8vZ9d1-ad.js”.
- hxxps://dlxfreight.bid/mx/
- hxxps://dlxfreight.bid/w1Q5DXr7te/gate.php
- hxxps://pnlbanorte.dlxfreight.bid
- hxxps://dlxfreight.bid/
- hxxp://tomolina[.]top/
- hxxps://facturacionmexico.net/choa.php
- hxxps://dlxfreightmore.com
[크로노스로 부터 안전하게 보호하는 방법 / How to Stay Safe from Kronos]
크로노스로 부터 보호하기 위해서, 평판이 좋은 안티바이러스와 안티 멀웨어 프로그램을 사용하는 것이 중요합니다. 또한 최신 보안 패치와 소포트웨어 업데이트를 진행해야 합니다. 추가적으로 직원들은 어떻게 피싱메일을 구별하고 피하는 지에 대해서 교육을 받아야 하며, 기업은 의심스러운 이메일들을 막기 위한 이메일 필터링과 다른 보안 조치들을 이행해야 합니다.
만약 시스템이 크로노스에 의해서 감염이 되었다고 의심되어지면, 시스템을 즉시 오프라인으로 하고, 안티바이러스와 안티 멀웨어툴을 사용하여 철저하게 탐색하여 위험을 제거해야 합니다.
이 멀웨어 캠패인이 잠재적으로 북아메리카 지역에 그리고 유럽 지역으로 퍼진다고 의심이 되어 지고 있습니다. 이 지역 있는 개인과 기업들은 이 위협에 대해서 깨닫고 이에 대한 더 나은 보호조치를 위해 위에 언급된 조치를 수행해야 합니다.
고객들에게 믿음을 주는 방법을 배우기 위해서, 잘못된 점을 발견하고 다양한 채널 들에서 들어오는 악성 유저들로부터 보호하고, IBM 보안 트러스티어 솔루션으로 대비하는 것이 좋습니다.
To protect against Kronos, it is important to use reputable antivirus and anti-malware programs, as well as to keep systems updated with the latest security patches and software updates. Additionally, employees should be educated on how to recognize and avoid phishing emails, and organizations should implement email filtering and other security measures to block malicious emails.
If a system is suspected to be infected with Kronos, it is important to take the system offline immediately and perform a thorough scan using antivirus and anti-malware tools. Any sensitive data that may have been compromised should also be changed immediately.
It is suspected that this malware campaign may potentially spread to the North American region and potentially also to the European region. Due to its advanced functionality and ability to evade detection, it is important for individuals and organizations in these regions to be aware of the threat it poses and take the actions noted above to better protect against it.
To learn how to authenticate customers, detect fraud and protect against malicious users across all channels, explore IBM Security Trusteer solutions..
https://securityintelligence.com/kronos-malware-reemerges-increased-functionality/