Malvertising campaign leads to info stealers hosted on GitHub | Microsoft Security Blog
Malvertising campaign leads to info stealers hosted on GitHub | Microsoft Security Blog
Microsoft detected a large-scale malvertising campaign in early December 2024 that impacted nearly one million devices globally. The attack originated from illegal streaming websites embedded with malvertising redirectors and ultimately redirected users to
www.microsoft.com
- 개요
- 2024년 12월, Microsoft Threat Intelligence는 약 백만 대 이상의 글로벌 디바이스에 영향을 미친 대규모 Malvertising(악성광고) 캠페인을 탐지
- 공격자는 불법 스트리밍 사이트에 악성 iframe을 삽입하여 사용자를 GitHub, Dropbox, Discord에 호스팅된 악성 페이로드로 유도
- 소비자 및 기업 환경 모두를 대상으로 하며, 공격자는 정보 탈취를 목적으로 한 다단계 페이로드 체인을 활용
- 초기 침투 및 리디렉션 체인
- 불법 스트리밍 웹사이트에 삽입된 iframe을 통해 사용자 클릭 유도
- iframe 내부의 redirector는 다수의 중간 리디렉터를 거쳐 GitHub의 악성 저장소로 연결
- GitHub 외에도 Discord와 Dropbox를 통해 페이로드 유포 사례 확인
- 공격 단계별 페이로드 분석
- 1단계 페이로드
- GitHub에서 호스팅된 실행파일을 통해 초기 기기 침투
- Electron 기반 앱 및 정상 파일을 포함하여 악성 로딩 수행
- 총 12개 디지털 서명 인증서 사용, 모두 폐기 조치됨
- 2단계 페이로드
- 시스템 정보 수집 및 HTTP를 통한 C2로의 Base64 인코딩 전송
- 수집 항목: OS, 메모리, GPU, 화면 해상도, 사용자 경로 등
- 3단계 페이로드
- PowerShell 스크립트 또는 실행파일로 구성
- NetSupport RAT, Lumma Stealer, Doenerium 등을 설치
- AutoIT 기반 .com/.scr/.js/.lnk 파일과 함께 시스템 지속성 확보
- LOLBAS 파일(RegAsm.exe, PowerShell.exe, MSBuild.exe) 활용
- 브라우저 데이터 및 사용자 문서 탈취, 원격 디버깅 활성화
- 4단계 PowerShell 스크립트
- Defender 탐지 우회(폴더 예외 설정 등)
- 추가 악성 압축파일(null.zip) 다운로드 및 실행
- Chrome 원격 디버깅 및 키보드 후킹 기능 포함
- 1단계 페이로드
- 악성 행위 세부 분석
- 브라우저 자격 증명 탈취
- Chrome, Edge, Firefox의 로그인 정보 및 쿠키 파일 접근
- DPAPI를 통해 암호화된 자격 증명 복호화
- 원격 디버깅 활성화
- 숨김 데스크톱에서 Chrome/Edge를 원격 디버깅 모드로 실행
- 9220~9229 포트로 TCP 연결 생성
- 시스템 지속성 확보
- Windows 시작폴더 .url 파일 삽입
- ASEP 레지스트리 키 수정 및 스케줄링 작업 생성
- 브라우저 자격 증명 탈취
- 주요 위협 그룹 및 기술
- Microsoft는 해당 공격을 Storm-0408로 추적
- 공격자는 검색엔진 최적화(SEO), 피싱, Malvertising을 통해 초기 액세스를 확보
- 도구: Lumma Stealer, Doenerium, NetSupport RAT, AutoIT, PowerShell, MSBuild 등
- 침해지표(IOC)
- 악성 iframe 도메인: movies7[.]net, 0123movie[.]art
- Malvertising 리디렉션 도메인: widiaoexhe[.]top, onclickperformance[.]com 등
- GitHub 저장소 및 다운로드 URL 다수 존재
- 주요 C2 IP 및 도메인: 159.100.18[.]192, keikochio[.]com, stocktemplates[.]net 등
- 주요 페이로드 해시: X-essentiApp.exe (d8ae7fbb8d...), Squarel.exe (29539039c1...), Briefly.com (1300262a9d...)
- 보안 권고
- Microsoft Defender 설정 강화
- Tamper Protection, Web Protection, EDR 차단 모드 활성화
- 자동 조사 및 수정 기능 활성화
- 공격면 축소 규칙(ASR) 활성화
- 모호한 스크립트 차단, 복사된 시스템 도구 차단 등
- MFA 및 피싱 저항 인증 수단 도입
- FIDO, Passkey, Microsoft Authenticator 사용 권장
- LOLBAS 실행 감지 로직 적용
- PowerShell, RegAsm.exe, AutoIT3.exe 기반 DPAPI 접근 및 브라우저 파일 열람 탐지 쿼리 제공
- Microsoft Sentinel, Defender XDR, Security Copilot 연계 분석 활용
- Microsoft Defender 설정 강화
- 결론
- 불법 콘텐츠 이용 환경을 악용한 공격으로 피해 범위가 광범위함
- 공격자는 GitHub, Discord, Dropbox 등 합법적 플랫폼을 악성 페이로드 전달에 적극 악용
- LOLBAS 기술, AutoIT, PowerShell을 조합한 정교한 다단계 공격 구조
- 사용자 기기 정보 수집, 브라우저 자격증명 탈취, 시스템 지속성 확보 등 고도화된 정보탈취 기능 탑재
- 보안 솔루션의 탐지 우회를 위한 다양한 위장 및 권한 상승 기법 존재
- 조직 내 웹 필터링, EDR 정책 강화 및 사용자 보안 인식 제고 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| EvilLoader, Telegram 안드로이드용 제로데이 취약점 악용 통한 악성코드 설치 캠페인 (0) | 2025.04.01 |
|---|---|
| 클라우드 서비스의 'Any/Any' 통신 구성 악용한 악성코드 호스팅 사례 분석 (0) | 2025.04.01 |
| 악성 트래픽 분산 시스템(TDS) 탐지와 대응 방안 (0) | 2025.04.01 |
| InvokeADCheck PowerShell 모듈을 활용한 Active Directory 보안 점검 자동화 (0) | 2025.04.01 |
| BadBox 2.0 악성코드, 100만 대 이상 안드로이드 기기 감염…Google Play 통해 유포 (0) | 2025.04.01 |