1년 후의 워쿠키: 새로운 기능과 새로운 인사이트

워쿠키 다시 방문하기

Elastic Security Labs는 WARMCOOKIE 코드베이스의 개발을 지속적으로 추적하여 백도어와 연결된 새로운 인프라를 발견하고 있습니다. 최초 게시 이후, 저희는 새로운 감염 및 새로운 로더와의 사용 등 백도어를 둘러싼 지속적인 활동과 코드 패밀리의 지속적인 업데이트를 관찰하고 있습니다. IBM X-Force 팀이 최근 발견한 새로운 서비스형 멀웨어(MaaS) 로더인 CASTLEBOT이 워쿠키를 유포하는 것으로 밝혀졌습니다.

이 글에서는 워쿠키가 처음 출시된 이후 추가된 새로운 기능에 대해 살펴봅니다. 이어서 다양한 샘플에서 추출한 설정 정보를 소개합니다.

핵심 사항

• 워쿠키 백도어는 활발하게 개발 및 배포되고 있습니다.
• 최근 추가된 마커인 캠페인 ID는 특정 서비스 및 플랫폼 타겟팅에 대한 정보를 제공합니다.
• 워쿠키 운영자는 명령 핸들러와 기능에 따라 구분되는 변형 빌드를 받는 것으로 보입니다.
• Elastic Security Labs는 새로운 WARMCOOKIE C2 서버를 추적하는 데 사용할 수 있는 기본 인증서를 확인했습니다.

워쿠키 요약

저희는 2024년 여름에 워쿠키에 대한 연구를 처음 발표하면서 워쿠키의 기능과 모집을 테마로 한 피싱 캠페인에 어떻게 배포되었는지에 대해 자세히 설명했습니다. 그 이후로 새로운 핸들러 추가, 새로운 캠페인 ID 필드, 코드 최적화, 회피 조정 등 멀웨어의 다양한 개발 변화가 관찰되었습니다.

워쿠키의 중요성은 2025년 5월, 유로폴의 '엔드게임 작전'에서 워쿠키를 포함한 여러 유명 멀웨어 패밀리를 교란하는 과정에서 부각되었습니다. 그럼에도 불구하고 여전히 다양한 멀버타이징 및 스팸 캠페인에 백도어가 활발하게 사용되고 있습니다.

워쿠키 업데이트

핸들러

새로운 변종 워머쿠키를 분석하는 과정에서 2024년 여름에 도입된 4개의 새로운 핸들러가 실행 파일, DLL, 스크립트를 빠르게 실행하는 기능을 제공하는 것을 확인했습니다:

• PE 파일 실행
• DLL 실행
• PowerShell 스크립트 실행
• Start export로 DLL 실행

저희가 수집한 가장 최근의 워쿠키 빌드에는 DLL/EXE 실행 기능이 포함되어 있으며, PowerShell 스크립트 기능은 훨씬 덜 널리 사용되고 있습니다. 이러한 기능은 파일 유형별로 다른 인수를 전달하여 동일한 함수를 활용합니다. 핸들러는 임시 디렉터리에 폴더를 생성하여 새로 생성된 폴더의 임시 파일에 파일 콘텐츠(EXE/DLL/PS1)를 기록합니다. 그런 다음 임시 파일을 직접 실행하거나 rundll32.exe 또는 PowerShell.exe 을 사용합니다. 아래는 procmon의 PE 실행 예시입니다.

문자열 은행

또 다른 변화는 폴더 경로 및 예약된 작업 이름에 합법적인 회사 목록("문자열 뱅크"라고 함)을 사용하는 것입니다. 이는 방어 회피 목적으로 수행되며, 멀웨어가 더 정상적으로 보이는 디렉터리로 이동하도록 허용합니다. 이 접근 방식은 이전 변종(C:\ProgramData\RtlUpd\RtlUpd.dll)에서 관찰한 것처럼 경로를 정적 위치에 하드코딩하는 대신 보다 동적인 방법(폴더 경로로 사용할 회사 목록, 멀웨어 런타임에 할당)을 사용합니다.

이 악성 코드는 srand 함수의 시드로 GetTickCount 을 사용하여 문자열 뱅크에서 문자열을 무작위로 선택합니다.

다음은 작업 이름과 폴더 위치가 표시된 예약된 작업의 예입니다:

이러한 이름과 설명 중 몇 가지를 검색한 결과, 저희 팀은 이 문자열 은행이 평판이 좋은 IT/소프트웨어 회사를 평가하고 찾는 데 사용되는 웹사이트에서 제공한 것임을 발견했습니다.

작은 변화

지난 글에서는 예약된 작업을 생성해야 하는지 확인하기 위해 /p 을 사용하여 명령줄 매개 변수를 전달했는데, 이 매개 변수가 /u 으로 변경되었습니다. 이는 이전 보고 방식에서 벗어나기 위한 작지만 추가적인 변화로 보입니다.

이 새로운 변형에서 WARMCOOKIE는 이제 2 별도의 GUID와 유사한 뮤텍스를 포함하며, 이를 조합하여 초기화 및 동기화를 더 잘 제어합니다. 이전 버전에서는 뮤텍스 하나만 사용했습니다.

최신 버전의 워쿡에서 눈에 띄는 또 다른 개선 사항은 코드 최적화입니다. 아래에서 볼 수 있는 구현은 이제 인라인 로직이 줄어들어 프로그램이 가독성, 성능 및 유지 보수성에 최적화되어 더 깔끔해졌습니다.

클러스터링 구성

2024년 7월 첫 공개 이후, 워쿠키 샘플에는 캠페인 ID 필드가 포함되어 있습니다. 이 필드는 운영자가 배포 방법 등 감염과 관련된 컨텍스트를 운영자에게 제공하는 태그 또는 마커로 사용됩니다. 아래는 캠페인 ID가 traffic2 인 샘플의 예입니다.

작년에 추출한 샘플 구성을 기반으로, 내장된 RC4 키를 사용하여 WARMCOOKIE를 사용하는 운영자를 구분할 수 있다는 가설을 세웠습니다. 입증되지는 않았지만 다양한 샘플에서 RC4 키 클러스터링을 기반으로 몇 가지 패턴이 나타나기 시작하는 것을 관찰했습니다.

RC4 키를 사용하면 캠페인 매핑에 bing, bing2, bing3,, aws 와 같은 키워드를 활용하는 RC4 키 83ddc084e21a244c 를 사용한 빌드와 같이 시간이 지남에 따라 캠페인 테마가 겹치는 것을 확인할 수 있습니다. 이러한 빌드 아티팩트와 관련하여 흥미로운 점은 일부 빌드에는 다른 명령 핸들러/기능이 포함되어 있다는 것입니다. 예를 들어 RC4 키 83ddc084e21a244c 를 사용하는 빌드는 PowerShell 스크립트 실행 기능이 있는 유일한 변종이며, 대부분의 최신 빌드에는 DLL/EXE 핸들러가 포함되어 있습니다.

다른 캠페인 ID는 lod2lod, capo, 또는 PrivateDLL 과 같은 용어를 사용하는 것으로 보입니다. 2025년 7월 샘플을 통해 처음으로 숫자 IP 주소와 임베디드 도메인을 비교한 결과, 임베디드 도메인의 사용이 더 많은 것으로 나타났습니다.

워쿠키 인프라 개요

이러한 구성에서 인프라를 추출하고 나면 하나의 SSL 인증서가 눈에 띕니다. 저희의 가설은 아래 인증서가 워쿠키 백엔드에 사용되는 기본 인증서일 가능성이 높다는 것입니다.

Issuer     
    C=AU, ST=Some-State, O=Internet Widgits Pty Ltd 
Not Before     
    2023-11-25T02:46:19Z
Not After
    2024-11-24T02:46:19Z  
Fingerprint (SHA1)     
    e88727d4f95f0a366c2b3b4a742950a14eff04a4
Fingerprint (SHA256)
    8c5522c6f2ca22af8db14d404dbf5647a1eba13f2b0f73b0a06d8e304bd89cc0

인증서 세부 정보

위의 "Not After" 날짜는 이 인증서가 만료되었음을 나타냅니다. 그러나 만료된 인증서를 사용하여 새(및 재사용된) 인프라는 계속 초기화됩니다. 이는 완전히 새로운 인프라가 아니라 기존 인프라에 새로운 생명을 불어넣기 위해 리디렉터를 재구성한 것입니다. 이는 캠페인 소유자가 C2가 발견되는 것을 걱정하지 않는다는 것을 의미할 수 있습니다.

결론

Elastic 보안 연구소는 이 패밀리의 새로운 인프라 배포와 워쿠키 감염을 지속적으로 관찰하고 있습니다. 지난 1년 동안 개발자는 지속적으로 업데이트와 변경을 진행했으며, 이는 앞으로도 당분간 계속될 것임을 시사합니다. 선택적으로 사용되기 때문에 계속 레이더망에 포착되지 않고 있습니다. 이 정보를 공유함으로써 조직이 이러한 위협으로부터 스스로를 보호할 수 있는 역량을 갖추게 되기를 바랍니다.

멀웨어 및 MITRE ATT&CK

Elastic은 MITRE ATT& CK 프레임워크를 사용하여 지능형 지속적 위협이 기업 네트워크에 대해 사용하는 일반적인 전술, 기술 및 절차를 문서화합니다.

전술

전술은 기술 또는 하위 기술의 이유를 나타냅니다. 이는 적의 전술적 목표, 즉 행동을 수행하는 이유입니다.

• 최초 침투
• 실행
• 방어 회피
• 탐색
• 명령 및 제어
• 침투

기술

기술은 공격자가 행동을 수행하여 전술적 목표를 달성하는 방법을 나타냅니다.

• 피싱
• 사용자 실행: 악성 링크
• 명령 및 스크립팅 인터프리터: PowerShell
• 시스템 정보 검색
• 예약된 작업/업무
• 화면 캡처
• 명령 및 스크립팅 인터프리터: Windows 명령 셸
• 표시기 제거: 맬웨어 재배치

멀웨어 탐지

예방

• 의심스러운 PowerShell 다운로드
• 비정상적인 프로세스에 의한 예약된 작업 생성
• Windows 스크립트를 통한 의심스러운 PowerShell 실행
• 비정상적인 인수가 있는 RunDLL32
• Windows.Trojan.WarmCookie

YARA

Elastic Security는 이 활동을 식별하기 위해 다음과 같은 YARA 규칙을 만들었습니다.

• Windows.Trojan.WarmCookie

관찰

이 연구에서는 다음과 같은 관찰 가능성에 대해 논의했습니다.

참고 자료

위의 조사에서 참조한 내용은 다음과 같습니다:

• https://www.ibm.com/think/x-force/dissecting-castlebot-maas-operation
• https://www.europol.europa.eu/media-press/newsroom/news/operation-endgame-strikes-again-ransomware-kill-chain-broken-its-source