[Threat Intel] Tusk Infostealer Lab

Scenario

A blockchain development company detected unusual activity when an employee was redirected to an unfamiliar website while accessing a DAO management platform. Soon after, multiple cryptocurrency wallets linked to the organization were drained. Investigators suspect a malicious tool was used to steal credentials and exfiltrate funds.

Your task is to analyze the provided intelligence to uncover the attack methods, identify indicators of compromise, and track the threat actor’s infrastructure.

 

Q1. What is the size of the malicious file?

VT에서 해시값을 기준으로 검색하면 악성 파일의 크기를 확인할 수 있습니다.

 

답 : 921.36KB

 

Q2. What word does the threat actor use in log messages to refer to victims, drawing inspiration from ancient tusk hunters?

https://securelist.com/tusk-infostealers-campaign/113367/

 

공격자는 초기 다운로더 로그 메시지에 Mammoth 라는 단어를 사용했다고 합니다. Mammoth 는 러시아어를 사용하는 위협 행위자가 피해자를 지칭할 때 사용하는 은어라고 하네요!

 

답 : Mammoth 

 

 

Q3. The threat actor created a malicious website to simulate a platform specialized for creating and managing decentralized autonomous organizations (DAOs) on the MultiversX blockchain. What is the name of the malicious website?

tusk 캠페인을 발견한 카스퍼스키 블로그의 분석 내용을 살펴보면, 첫번째 캠페인에서 DAO를 만들고 관리하기 위한 플랫폼인 peerme.io로 위장한 tidyme[.]io 도메인을 확인할 수 있습니다.

 

답 : tidyme

 

 

Q4. Where are malware samples hosted for both macOS and Windows?

또한 사용자의 OS 버전을 인식한 이후에는, Dropbox를 통해 OS에 맞는 악성코드를 유포합니다.

 

답 : Dropbox

 

 

Q5. The malicious executable contains a configuration file that includes base64-encoded URLs and a password used for archived data decompression, enabling the download of second-stage payloads. What is the password for decompression found in this configuration file?

악성코드에는 base64로 인코딩된 URL과 보관된 데이터 압축 해제를 위한 비밀번호가 포함된 config.json 구성 파일이 존재합니다. config,json 파일의 정보는 사진과 같으며, 이 URL은 2단계 페이로드 다운로드에 사용된다고 합니다.

 

답 : newfile2024

 

Q6. What is the name of the function responsible for retrieving the field archive from the configuration file?

주요 다운로더 기능은 preload.js에 downloadAndExtractArchive 함수와 loadFile이라는 함수에 구현되어있는데, 그 중 downloadAndExtractArchive 함수는 필드 아카이브를 검색하고 디코딩하여 파일을 다운로드합니다.

 

답 : downloadAndExtractArchive

 

 

Q7. In the Third Sub-Campaign, The attacker simulated An AI translator, What is the name of the legitimate translator and the name of the Malicious Translator?

공격자는 YOUS 라는 AI 번역기로 위장하여 voico[.]io 라는 도메인을 사용해 세번째 캠페인을 진행하였습니다.

 

답 : Yous, voico

 

Q8. What are the IP Addresses of the StealC C2 Server?

카스퍼스키에서 정말 친절하게도 IoC 정보까지 모두 제공을 해주더군요. 여기서 StealC C2 서버 주소를 찾을 수 있었습니다.

 

답 : 46.8.238.240,23.94.225.177

 

 

Q9. What is the address of the Ethereum cryptocurrency wallet used in this campaign?

답 : 0xaf0362e215Ff4e004F30e785e822F7E20b99723A

 

 

 

---

궁금해서 이더스캔에서 거래내역을 확인해보았는데요.

가장 최근 거래는 86일 전이고, 대부분의 활발한 거래는 카스퍼스키에 블로그에 적혀있는 내용과 같이 300~340일 전에 집중 되어 있습니다.

그리고 다양한 스테이블 코인(USDC, DAI, USDT)로 변환해서 자금을 옮기는 것을 볼 수 있습니다. 여기서 Value가 0 ETH로 표시되는 이유는 Value 필드가 순수 ETH 전송량만을 나타내기 때문입니다. 실제 토큰 전송량은 컨트랙트의 internal transaction으로 처리된다고 하네요.

 

USDT로 변환해 옮긴 거래내역 0x5dde667021abd2d8543773c5d3b6f78503598ab59b9f9c3d9919e09741fb8894 를 따라가 보았는데요.

• To: 0xF8b7ae2CA5313Ea5b80F66Ea27b5978CC8c671b7
• 금액: 98.76 USDT ($98.76)

98.76 USDT를 0xF8b7ae2CA5313Ea5b80F66Ea27b5978CC8c671b7으로 전송하더군요.

 

 

이번에는 0xF8b7ae2CA5313Ea5b80F66Ea27b5978CC8c671b7의 거래내역을 확인해보았는데요.

Cryptomus라는 암호화폐 결제 서비스를 자주 사용하는 것을 확인할 수 있는데, 아마 이 서비스를 이용해서 현금화한 것이 아닐까 추측해봅니다…

 

지금까지 발견한 내용에 따르면 대충 이러한 흐름인 것 같네요.

1. 클리퍼 지갑 (0xaf0362e215Ff4e004F30e785e822F7E20b99723A)
   ↓ [피해자들의 암호화폐 탈취]
   
2. USDT로 변환
   ↓ [98.76 USDT 전송]
   
3. 중간 지갑 (0xF8b7ae2CA5313Ea5b80F66Ea27b5978CC8c671b7)
   ↓ [Cryptomus 핫월렛과 상호작용]
   
4. Cryptomus (암호화폐 결제 서비스)
   ↓ [정상적인 금융 시스템으로 전환]
   
5. 최종 현금화

 

 

이상 자금 세탁 추적 새싹 레벨의 분석을 마치겠습니다…

(틀린 부분이 있다면 편하게 댓글로 말씀해주세요!!)