DarkCloud Stealer 기반 사이버 공격 캠페인 분석

DarkCloud Stealer Uses Weaponized .TAR Archives to Target Organizations and Steal Passwords

DarkCloud Stealer Uses Weaponized .TAR Archives to Target Organizations and Steal Passwords

 

• 공격 개요
  • 스페인 내 기업 및 국제 조직의 현지 사무소를 대상으로 DarkCloud Stealer 악성코드 배포
  • 합법적인 스페인 아웃도어 장비 회사를 사칭하여 이메일 기반 소셜 엔지니어링 수행
  • 이메일 제목에 청구 테마(Imposte: 3.500,00 EUR) 사용하며, .tar 아카이브 형식의 악성 파일 첨부
  • 첨부 파일명은 Importe3.50000EURTransfer.tar로, 내부에는 DarkCloud 이진 파일 포함
• DarkCloud Stealer 기능
  • 정보 탈취 기능
    • 키보드 입력(Keystroke) 기록 및 클립보드 내용 감시
    • 브라우저(Chrome, Opera, Yandex, 360 Browser)에서 저장된 비밀번호, 쿠키, 자격 증명 탈취
    • 이메일 클라이언트 및 암호화폐 관련 애플리케이션에서 민감한 파일 수집
  • 암호화폐 지갑 공격
    • 비트코인(BTC), 이더리움(ETH), 리플(XRP) 등 지갑 주소 탈취 및 교체
  • 파일 탈취
    • .txt, .xls, .xlsx, .pdf, .rtf 형식 문서 수집 및 외부로 전송
  • 다중 전송 채널
    • SMTP, 텔레그램, FTP를 통한 탈취 정보 전송
  • 탐지 회피 기술
    • 가상머신 회피(Anti-VM), 디버깅 방지(Anti-Debug), API 호출 위장 기능 탑재
• 악성코드 배포 방식
  • 스페인 기업을 사칭한 이메일 사기
  • 다양한 산업군(기술, 금융, 의료, 정부, 화학, 식품, 제조 등)을 표적
  • .tar 파일 형태로 위장된 악성 첨부파일을 통해 사용자 유도
• 보안 권고
  • Broadcom Symantec 기반 방어 기술
    • Carbon Black 제품군: 클라우드 평판 기반 실행 차단 및 악성 코드 방지 정책 적용
    • 이메일 보안 솔루션: Email Threat Isolation(ETI) 기술을 통한 이메일 콘텐츠 격리
    • 파일 기반 탐지: Trojan.Gen.MBT 서명 기반으로 악성 파일 탐지 및 차단
    • 기계 학습 기반 탐지: Heur.AdvML.B 모델을 활용한 이상 행위 사전 탐지
  • 조직 내 보안 권고 사항
    • 청구 관련 이메일의 첨부파일 확인 시 각별한 주의 필요
    • 이메일 필터링 정책 강화 및 행위 기반 탐지 기능 도입
    • 수신 파일에 대한 다계층 보안 검사 체계 마련
    • 사용자 대상 피싱 교육 및 문서 열람 시 행위 감시 도입
• 결론
  • 상용화된 정보 탈취 악성코드가 타깃형 피싱에 활용되는 사례 증가
  • 이메일을 통한 전통적 침투 방식이 여전히 효과적으로 작동함을 시사
  • 전사적 차원의 다계층 탐지 및 사용자 행위 기반 대응 체계 필수
  • 산업 전반에 걸친 보안 인식 강화 및 콘텐츠 기반 보안 제어 기술 확대 필요