{ "id": "b813cb77-72ae-404e-b093-391d6c4a3c41", "created_at": "2026-04-06T00:09:33.148186Z", "updated_at": "2026-04-10T13:11:19.198724Z", "deleted_at": null, "sha1_hash": "dac363b3fd7a2e2354754bb8b00642ee3b05cae7", "title": "Deep Analysis of Raccoon Stealer", "llm_title": "", "authors": "", "file_creation_date": "0001-01-01T00:00:00Z", "file_modification_date": "0001-01-01T00:00:00Z", "file_size": 4492389, "plain_text": "Deep Analysis of Raccoon Stealer\r\nBy S2W\r\nPublished: 2021-05-24 · Archived: 2026-04-05 20:55:09 UTC\r\n17 min read\r\nMay 24, 2021\r\nAuthor: Seunghoe Kim @ Talon\r\nExecutive Summary\r\nRaccoon Stealer는 감염 PC내 정보를 탈취하는 악성코드이다. CIS 국가 출신 해커(그룹) 이 판매하는 스틸\r\n러 악성코드로, 활발히 유포되어 각종 계정 정보를 지속적으로 탈취하고 있다. 탈취된 정보는 Credential\r\nStuffing 등의 기법으로 기업 내 침투 또는 추가적인 개인 정보 탈취에 이용되고 있다.\r\n이번 분석에 사용한 샘플의 경우 Vidar Stealer에도 적용된 바 있는 DerpLoader로 패킹되어 있다.\r\nCIS: Commonwealth of Independent States 의 약자로 1991년 소련(소비에트 연방)의 해체로 독립\r\n한 국가들의 국제기구. 러시아, 몰도바, 벨라루스, 아르메니아, 아제르바이잔, 우즈베키스탄, 카\r\n자흐스탄, 키르기스스탄, 타지키스탄이 공식 회원국으로 참여하고 있으며 투르크메니스탄, 몽\r\n골, 아프가니스탄은 비공식 참관국으로 참여하고 있음\r\n본 보고서에서 분석한 Raccoon Stealer 샘플의 특징은 다음과 같다.\r\n1. 특정 텔레그램 프로필을 통해 C2 서버 지정\r\n2. 기본 수집 항목\r\n- 브라우저에 저장된 계정 정보, 쿠키, 자동완성 데이터, 신용카드 정보\r\n- 메일 어플리케이션에 저장된 계정 정보\r\n- 패스워드 관리 프로그램의 데이터베이스\r\n- 암호화폐 지갑\r\n- 상세한 시스템 정보\r\n- 스크린캡쳐\r\n3. C2에 감염 성공한 봇 ID 등록 시 응답으로 전송되는 설정 내용에 따라 추가 행위 수행 가능\r\n- 브라우저 히스토리 수집\r\n- 지정한 경로에서 조건에 맞는 파일들을 수집\r\n- 스크린샷 촬영\r\n- 지정된 URL의 파일 다운로드 후 실행 (Dropper 기능)\r\n- 자가삭제\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 1 of 20\n\n4. Raccoon Stealer 가 이용하는 설정파일 내 러시아어가 다수 포함되어 있는걸로 보아 러시아를 기반\r\n으로 하는 그룹에 의해 제작된 것으로 추정됨\r\nPress enter or click to view image in full size\r\n5. Raccoon Stealer 의 정보 탈취 대상 어플리케이션 목록은 아래와 같음\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 2 of 20\n\nRelated Article\r\nW1 Feb| EN | Story of the week: Stealers on the Darkweb\r\nSample Info\r\nMD5: ff8789097f9b226cecc127d0a301f676\r\nSHA1: 912bb98de73078c71fdd79185d0e4455b8a953c2\r\nSHA256: 3c5120a6e894b64924dc44f3cdc0da65f277b32870f73019cefeacf492663c0e\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 3 of 20\n\nRich Header\r\n주의 ! 아래부터는 상세 분석 내용으로 매우 어렵게 작성되어 있으니, 간략한 정보만 원하는 구\r\n독자분께서는 여기까지만 보시길 권장합니다.\r\nDetailed Analysis\r\nStage 1 — TEA decryption (Obfuscated)\r\n1. 분석을 방해하기 위한 목적의 더미 코드가 다량 배치되어 있다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 4 of 20\n\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 5 of 20\n\n2. Busy Wait 루프 활용\r\n1) 0부터 n까지 루프 카운터를 1씩 증가시키다가, 특정 값에 도달하는 등의 조건을 달성하면 필요한 코드\r\n가 실행된다.\r\n2) 인자 없이 호출 가능하거나, 0(NULL)을 인자로 주어 호출하더라도 실행 흐름에 영향을 주지 않는 윈도\r\n우 API들(GetAncestor, GetLastError 등)을 Busy wait 루프 내에서 호출한다. 윈도우 API 호출을 기록하는 종\r\n류의 샌드박스를 통한 동적 분석을 방해하고자 하는 의도로 추측한다.\r\n3) 이러한 루프 속에 더미 코드가 함께 들어 있는데, 실제로는 실행되지 않는 함수들이 많다. 절대로 충족\r\n될 수 없는 조건을 설정한 조건문을 이용하여 실행되지 않는 더미 코드를 삽입한다. 공통적으로 함수의 인\r\n자에 대부분 0을 채워서 프로토타입과 일치하도록 모양만 갖추고 있다.\r\nPress enter or click to view image in full size\r\n3. TEA 알고리즘을 이용하여 암호화 된 payload를 복호화하며, 복호화 된 payload를 함수처럼 호출한다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 6 of 20\n\nStage 2 — XOR decryption \u0026 unpacking\r\n1. Stage 1의 최종 payload는 shellcode 형태이며, 간단한 알고리즘으로 생성된 키 스트림과 데이터를\r\nXOR하여 복호화하며 필요한 경우 압축된 데이터를 언패킹한다.\r\n2. 간단한 해싱을 통해 현재 프로세스 모듈에서 kernel32.dll 모듈을 찾고, LoadLibraryA와\r\nGetProcAddress의 주소를 획득한다.\r\nPress enter or click to view image in full size\r\nPress enter or click to view image in full size\r\n3. 사용된 hash 함수를 python으로 표현하면 다음과 같다.\r\ndef hash(s):\r\n h = 0\r\n for c in s:\r\n t = ord(c) | 0x60\r\n h = 2 * (t + h)\r\n return h\r\n4. 이후에는 해싱을 활용하지 않고, 방금 획득한 LoadLibraryA와 GetProcAddress를 이용하여 kernel32.dll의\r\n핸들을 얻은 후 GetProcAddress에 필요한 함수 이름을 직접 넣어 주소를 획득한다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 7 of 20\n\n5. 현재 프로세스의 모듈 스냅샷을 성공적으로 획득할 경우 데이터 복호화를 시작한다.\r\nPress enter or click to view image in full size\r\n6. 정해진 규칙에 따라 XOR 키를 생성하여 복호화를 수행하고, 데이터가 압축되어 있는 경우 언패킹한다.\r\nPress enter or click to view image in full size\r\n7. 복호화 및 언패킹이 끝난 코드로 점프하여 Stage 3으로 진입한다.\r\nGet S2W’s stories in your inbox\r\nJoin Medium for free to get updates from this writer.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 8 of 20\n\nRemember me for faster sign in\r\nXOR 복호화 방식 관련 추가 내용\r\nPress enter or click to view image in full size\r\n1. XOR Key 생성 함수\r\nXOR Key 생성 함수 실행 결과의 LOBYTE 부분을 키로 사용하여 1Byte를 복호화하고, 중간값을 저\r\n장해 두었다가 다음 1Byte를 위한 key를 생성할 때 그 값을 재사용한다.\r\n2. Unpacking\r\nPayload 정보를 담고 있는 부분에 데이터 압축 여부가 boolean 값으로 저장되어 있으며, 해당 값이\r\n참인 경우 실제 데이터의 크기만큼 메모리 할당 후 언패킹을 수행한다.\r\nStage 3 — Unpacking \u0026 Process hollowing\r\n1. Stage 1의 최종 payload와 마찬가지로 Stage 2의 최종 payload도 shellcode 형태이며, 필요한 경우 언패\r\n킹을 수행하고 최종적으로 Process hollowing을 통해 Raccoon stealer를 실행한다.\r\n2. PEB에서 이미지 베이스 주소를 얻은 후, 그 값을 이용해 수동으로 kernel32.dll의 핸들과\r\nGetProcAddress의 주소를 획득하고, 두 값을 이용하여 LoadLibraryA의 주소도 획득한다.\r\n3. 이후 GetProcAddress를 이용해 필요한 함수들의 주소를 획득한다.\r\n4. 데이터 압축 여부에 따라 지정된 주소에 저장되어 있는 데이터의 언패킹을 수행하거나, 임시로 할\r\n당한 버퍼에 복사한다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 9 of 20\n\n– 만약 압축이 되어 있어 언패킹을 수행할 경우, 이용되는 알고리즘은 Stage 2와 동일하다.\r\n– 본 샘플의 경우 데이터가 압축되어 있지 않아, 곧바로 복사가 이루어진다.\r\n5. 위 단계에서 복사하거나 언패킹한 PE 파일을 현재 실행중인 프로세스에 매핑하기 위해 Process\r\nhollowing을 수행한다.\r\n– ImageBaseAddress부터 실제 매핑에 필요한 용량만큼 페이지 보호 설정을\r\nPAGE_EXECUTE_READWRITE로 변경한 뒤 memset을 이용해 해당 영역을 0으로 초기화한다.\r\n– 복사해 둔 PE 파일을 헤더 정보에 따라 초기화 된 영역에 매핑한다.\r\n– 모든 과정이 완료되면 패커에서 설정한 오프셋으로 점프하여 매핑 된 바이너리의 함수를 호출한\r\n다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 10 of 20\n\nStage 4 — Final payload\r\nRaccoon stealer의 본체\r\nMD5: ec2e3d86a8ef4c3bf56a02bac36775a2\r\nSHA1: 2b9b94c5ca0b741b1b08bfd02f6aea335014b065\r\nSHA256: 93e42ca54963eceb81845cda8e38c5880eec9acd4372aa1d40fc6f250293fdc2\r\nRich Header\r\nPress enter or click to view image in full size\r\nString decode\r\nRaccoon stealer 내부에서 사용하는 string은 1바이트 XOR key로 encode되어 있으며, 다음 중 하나의 방법을\r\n이용하여 문자열 사용 전 decode를 수행한다.\r\nPress enter or click to view image in full size\r\nType 1: Key = ~encoded_data[0]\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 11 of 20\n\nType 2: Key = encoded_data[0]\r\n상세 분석 결과\r\n최초 실행 시 중복 실행 방지를 위한 Mutex와 실행 권한, 기본 언어 설정을 확인한다.\r\nPress enter or click to view image in full size\r\nPress enter or click to view image in full size\r\nMutex: “uiabfqwfu” + username\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 12 of 20\n\nLocal System 권한으로 실행 중인 경우 explorer.exe 프로세스를 찾아 토큰 복제 후 해당 토큰을 이용해\r\nexplorer.exe 프로세스를 추가 생성함\r\nPress enter or click to view image in full size\r\n기본 언어 설정을 확인하여 러시아를 포함한 CIS 국가들의 언어로 설정된 경우 프로그램을 종료한다.\r\n확인 언어: 러시아, 우크라이나, 벨라루스, 카자흐스탄, 키르기스탄, 아르메니아, 타지크스탄, 우즈\r\n베키스탄\r\nCIS 국가에서 생산된 악성코드가 가지는 대표적인 특징이며, Raccoon stealer를 CIS 국가 출신 해커/\r\n그룹이 제작했을 가능성이 매우 높다.\r\nPress enter or click to view image in full size\r\n이후, XOR encode된 RC4 Key를 decode한다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 13 of 20\n\nRC4 Key: 245a32736074656e5c40624539767a52 (HEX)\r\nBase64 encode된 RC4 Ciphertext를 상기의 키로 복호화하여 URL을 획득한다.\r\n추출된 URL =\u003e https://telete[.]in/bpa1010100102\r\n브라우저로 해당 URL 접속 시 다음과 같은 화면을 볼 수 있다.\r\nPress enter or click to view image in full size\r\n해당 URL로 GET 요청을 보낸 후, 응답을 받아 적절한 형태로 가공한다.\r\n텔레그램 프로필의 Bio 부분을 얻은 후 앞에서부터 5바이트, 뒤에서부터 6바이트를 제거한다.\r\n결과물을 Base64 Decode 후 바이너리 내에 평문 상태로 하드코딩 된 RC4 Key를 이용하여 복호화한\r\n다.\r\nPress enter or click to view image in full size\r\nRC4 Key: “4292d8c9b241f3ea28116d4762c9b76c” (String)\r\n복호화 결과, C2 주소는 아래와 같다.\r\nhttp://34.89.59[.]109/\r\nResponse Header를 통해 nginx로 운영됨을 확인할 수 있었다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 14 of 20\n\n따라서, 해당 스틸러와 연결된 텔레그램 계정 프로필의 Bio 메시지를 수정하여 동적으로 C2 주소를\r\n변경 가능함을 알 수 있다.\r\nHKLM 키의 값을 읽어 대문자로 바꾸고, 현재 사용자 이름 및 바이너리 내에 Base64 encoding \u0026\r\nRC4 encryption의 조합으로 저장된 토큰 값과 합쳐 최종적으로 C2에 POST 요청으로 보낼 데이터를\r\n생성한다.\r\nExample아래와 같은 시스템이 있다고 가정해 본다.\r\nMachineGuid = “f2c01c55–365c-4752-a423-a869227e643a”\r\nusername = “user”C2에 보낼 데이터는 아래와 같다.\r\nb=F2C01C55–365C-4752-A423-A869227E643A_user\u0026c=e3de2e9c9bdeac0c27582c1340ec7fc75cb896be\u0026f=json\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 15 of 20\n\nC2 전송 데이터 생성 코드\r\n생성된 데이터를 RC4로 암호화 \u0026 Base64 encode 후 C2로 전송한다.\r\nExample(위 예시와 동일한 시스템)RC4 Key: 245a32736074656e5c40624539767a52 (HEX)\r\nC2 전송용 최종 데이터\r\no2xvQ4i1NQYOtL2IzpgwpJkCVuWGaJf7mN4n6RnDELYOKE1Ng1J3flpUrInASPL45vM87sQgDH/ZWVWmkMQ9pdR00ISE72dMbHgO/\r\nC2 서버에서 json 형태의 config(설정값)을 반환한다. 해당 설정값에는 현재 접속한 PC의 IP와 위치\r\n정보 및 어느 경로에서 어떤 기준으로 파일을 훔쳐올 지 설정하는 내용이 포함되어 있다.\r\nPress enter or click to view image in full size\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 16 of 20\n\n다양한 암호화폐 지갑 및 패스워드 저장 프로그램의 데이터를 수집한다. 수집 대상은 아래와 같다.\r\n1. Wallet: Bither, Atomic, Electrum, Electrum-LTC, Electroncash, Ethereum, Exodus, Jaxx, Monero, MyMo\r\n브라우저 정보 수집은 아래와 같은 방법을 이용한다.\r\n1. 딕셔너리 형태의 config에서 “au” 키의 값을 읽어 C2 주소와 합친 경로에서 sqlite3.dll 파일을\r\n%USERPROFILE%\\AppData\\LocalLow\\sqlite3.dll 에 다운로드한다.\r\n2. C2로부터 다운받은 sqlite3 라이브러리를 활용하여 브라우저 데이터를 수집한다. 기본적으로 Login\r\nData, Cookies, User data, Web Data를 수집한다. 최종적으로는 ID, 비밀번호, 쿠키, 자동완성 데이터,\r\n신용카드 정보 등을 탈취한다. 브라우저 확장 프로그램 형태의 암호화폐 지갑도 수집하며 수집 대\r\n상은 Brave wallet, MetaMask wallet 등이다.\r\n3. config의 is_history_enabled 키 값이 1인 경우 Browser History도 함께 수집한다.\r\n4. Internet Explorer의 자동완성 및 저장된 계정 정보 및 Windows Vault에 저장된 계정 정보를 수집한다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 17 of 20\n\n5. 딕셔너리 형태의 config에서 “ls” 키의 값을 읽어 C2 주소와 합친 경로에서 zip으로 압축된 파일을\r\n%USERPROFILE%\\AppData\\LocalLow\\gC9tT2iQ3s\\pY4zE3fX7h.zip 에 다운로드 후 압축을 해제한\r\n다. 압축 해제 결과, DigiCert에서 발행된 Mozilla Corporation의 인증서로 서명이 된 DLL 파일들이\r\n들어 있음을 확인할 수 있었다.\r\n6. 압축 해제 후 생성된 파일의 생성 및 수정 시간을 인위적으로 변경한다. (2019년 3월 14일 오후 3시\r\n20분 52초)\r\n7. 압축을 해제하여 얻은 Mozilla DLL을 활용하여 Mozilla 제품 및 파생 제품에서 데이터를 수집한다.\r\n수집 대상은 Firefox, Waterfox, SeaMonkey, Pale Moon, Thunderbird 등이다.\r\n8. Email Application 관련 계정 정보를 수집한다. 수집 대상은 Thunderbird, Outlook, Foxmail 등이다.\r\nFoxmail 의 경우 수집 경로가 고정 되어 있어, 특정 경로에 설치된 경우에만 계정 정보 수집이 가능\r\n하다. 수집 가능 경로는 다음과 같다. D:\\Program Files\\Foxmail 7.2\\Storage, D:\\Program Files\r\n(x86)\\Foxmail 7.2\\Storage, D:\\Foxmail 7.2\\Storage, C:\\Program Files\\Foxmail 7.2\\Storage, C:\\Program\r\nFiles (x86)\\Foxmail 7.2\\Storage, C:\\Foxmail 7.2\\Storage\r\n9. 피해자 정보를 취합한다. C2 서버에 피해 시스템 등록 시 응답으로 주어진 config 내에 포함된 정보\r\n를 일부 활용한다. 취합되는 피해자 정보는 아래와 같다.\r\n1) IP, Location (Country, State, City, Zip, Latitude, Longitude)\r\n2) %USERPROFILE%\\AppData\\LocalLow\\iK0eK1lK3k 디렉터리를 생성한 후, config[“c”][“m”] 내의\r\n조건에 맞는 파일을 지정된 경로 및 하위 디렉터리에서 찾아 복사한다. 또한, machineinfo.txt 에 아래\r\n와 같은 시스템 정보를 기록한다.\r\n1) Raccoon 버전 및 빌드 날짜 — 본 샘플의 경우 1.7.3 | Sat Feb 27 21:25:06 2021\r\n2) Raccoon 실행 시간\r\n3) Bot ID ({MACHINEGUID}_{username})\r\n4) Platform (Battery 존재 여부로 laptop/desktop 구분)\r\n5) 수집한 쿠키, 패스워드, 파일 수\r\n6) 시스템 정보\r\n - 시스템 언어, Timezone, IP, Location, 컴퓨터 이름, Username, Windows version, Product name, Syste\r\n10. 최종적으로 수집된 데이터를 압축 및 전송한다.\r\nPress enter or click to view image in full size\r\n11. config[“is_screen_enabled”] 값이 1인 경우, 현재 시스템의 스크린샷을 압축파일에 추가한 후, C2 서버로\r\n압축 파일을 전송한다.\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 18 of 20\n\n12. config 을 통해 Dropper 기능이 설정된 경우, 지정된 URL에서 파일을 받아 ShellExecuteA 함수로 실행한\r\n다.\r\nconfig[“lu”] == [{“t”: Drop file type (1이면 DLL, 1이 아니면 EXE), “u”: Drop file URL, “f”: function\r\nDLL은 rundll32.exe를 이용해 실행하고, EXE는 그냥 실행한다.\r\n함수 이름이 주어진 경우 rundll32.exe drop_file_name,function_name 과 같이 특정 함수를 지정하여 실행한\r\n13. 자가삭제 기능이 설정된 경우 cmd 명령을 이용해 스스로를 삭제한다.\r\ncmd.exe /C timeout /T 10 /NOBREAK \u003e Nul \u0026 Del /f /q “%s”\r\n결론 및 대응방안\r\n현재 활발히 유포되고 있는 Stealer 악성코드는 Raccoon 외에도 Vidar, Azorult, Taurus, Redline, Ficker 등 다\r\n양하다. 해당 악성코드들의 행위적 특성과 유포 방식 등에 대한 정보를 꾸준히 습득하는 것이 필요하며,\r\n관련 정보는 본 미디엄에 꾸준히 업데이트 될 예정이다.\r\nStealer 악성코드에 의해 탈취된 계정은 다크웹 내에서 꾸준히 거래되고 있으며 당사는 해당 정보를 지속\r\n해서 탐지하고 있다.\r\nS2W LAB에서 탐지한 정보는 당사 CTI 솔루션인 Xarvis Enterprise 를 통해 확인 가능하며, 고객 및 임직원\r\n보호를 위한 조치를 수행할 수 있다.\r\nPress enter or click to view image in full size\r\nCredential Leak Monitoring Dashboard, Xarvis Enterprise\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 19 of 20\n\nSource: https://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nhttps://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949\r\nPage 20 of 20\n\n https://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949 \n2. Busy Wait 루프 활용 \n1) 0부터 n까지 루프 카운터를 1씩 증가시키다가, 특정 값에 도달하는 등의 조건을 달성하면 필요한 코드\n가 실행된다. \n2) 인자 없이 호출 가능하거나, 0(NULL)을 인자로 주어 호출하더라도 실행 흐름에 영향을 주지 않는 윈도\n우 API들(GetAncestor, GetLastError 등)을 Busy wait 루프 내에서 호출한다. 윈도우 API 호출을 기록하는 종\n류의 샌드박스를 통한 동적 분석을 방해하고자 하는 의도로 추측한다. \n3) 이러한 루프 속에 더미 코드가 함께 들어 있는데, 실제로는 실행되지 않는 함수들이 많다. 절대로 충족\n될 수 없는 조건을 설정한 조건문을 이용하여 실행되지 않는 더미 코드를 삽입한다. 공통적으로 함수의 인\n자에 대부분 0을 채워서 프로토타입과 일치하도록 모양만 갖추고 있다. \nPress enter or click to view image in full size \n3. TEA 알고리즘을 이용하여 암호화 된 payload를 복호화하며, 복호화 된 payload를 함수처럼 호출한다.\n Page 6 of 20 \n\n1. Wallet: Bither, 브라우저 정보 Atomic, Electrum, 수집은 아래와 Electrum-LTC, 같은 방법을 이용한다. Electroncash, Ethereum, Exodus, Jaxx, Monero, MyMo\n1. 딕셔너리 형태의 config에서 “au” 키의 값을 읽어 C2 주소와 합친 경로에서 sqlite3.dll 파일을\n%USERPROFILE%\\AppData\\LocalLow\\sqlite3.dll 에 다운로드한다. \n2. C2로부터 다운받은 sqlite3 라이브러리를 활용하여 브라우저 데이터를 수집한다. 기본적으로 Login\nData, Cookies, User data, Web Data를 수집한다. 최종적으로는 ID, 비밀번호, 쿠키, 자동완성 데이터,\n신용카드 정보 등을 탈취한다. 브라우저 확장 프로그램 형태의 암호화폐 지갑도 수집하며 수집 대\n상은 Brave wallet, MetaMask wallet 등이다. \n3. config의 is_history_enabled 키 값이 1인 경우 Browser History도 함께 수집한다. \n4. Internet Explorer의 자동완성 및 저장된 계정 정보 및 Windows Vault에 저장된 계정 정보를 수집한다.\n Page 17 of 20", "extraction_quality": 1, "language": "KO", "sources": [ "Malpedia" ], "origins": [ "web" ], "references": [ "https://medium.com/s2wlab/deep-analysis-of-raccoon-stealer-5da8cbbc4949" ], "report_names": [ "deep-analysis-of-raccoon-stealer-5da8cbbc4949" ], "threat_actors": [ { "id": "8941e146-3e7f-4b4e-9b66-c2da052ee6df", "created_at": "2023-01-06T13:46:38.402513Z", "updated_at": "2026-04-10T02:00:02.959797Z", "deleted_at": null, "main_name": "Sandworm", "aliases": [ "IRIDIUM", "Blue Echidna", "VOODOO BEAR", "FROZENBARENTS", "UAC-0113", "Seashell Blizzard", "UAC-0082", "APT44", "Quedagh", "TEMP.Noble", "IRON VIKING", "G0034", "ELECTRUM", "TeleBots" ], "source_name": "MISPGALAXY:Sandworm", "tools": [], "source_id": "MISPGALAXY", "reports": null }, { "id": "3a0be4ff-9074-4efd-98e4-47c6a62b14ad", "created_at": "2022-10-25T16:07:23.590051Z", "updated_at": "2026-04-10T02:00:04.679488Z", "deleted_at": null, "main_name": "Energetic Bear", "aliases": [ "ATK 6", "Blue Kraken", "Crouching Yeti", "Dragonfly", "Electrum", "Energetic Bear", "G0035", "Ghost Blizzard", "Group 24", "ITG15", "Iron Liberty", "Koala Team", "TG-4192" ], "source_name": "ETDA:Energetic Bear", "tools": [ "Backdoor.Oldrea", "CRASHOVERRIDE", "Commix", "CrackMapExec", "CrashOverride", "Dirsearch", "Dorshel", "Fertger", "Fuerboos", "Goodor", "Havex", "Havex RAT", "Hello EK", "Heriplor", "Impacket", "Industroyer", "Karagany", "Karagny", "LightsOut 2.0", "LightsOut EK", "Listrix", "Oldrea", "PEACEPIPE", "PHPMailer", "PsExec", "SMBTrap", "Subbrute", "Sublist3r", "Sysmain", "Trojan.Karagany", "WSO", "Webshell by Orb", "Win32/Industroyer", "Wpscan", "nmap", "sqlmap", "xFrost" ], "source_id": "ETDA", "reports": null }, { "id": "a66438a8-ebf6-4397-9ad5-ed07f93330aa", "created_at": "2022-10-25T16:47:55.919702Z", "updated_at": "2026-04-10T02:00:03.618194Z", "deleted_at": null, "main_name": "IRON VIKING", "aliases": [ "APT44 ", "ATK14 ", "BlackEnergy Group", "Blue Echidna ", "CTG-7263 ", "ELECTRUM ", "FROZENBARENTS ", "Hades/OlympicDestroyer ", "IRIDIUM ", "Qudedagh ", "Sandworm Team ", "Seashell Blizzard ", "TEMP.Noble ", "Telebots ", "Voodoo Bear " ], "source_name": "Secureworks:IRON VIKING", "tools": [ "BadRabbit", "BlackEnergy", "GCat", "NotPetya", "PSCrypt", "TeleBot", "TeleDoor", "xData" ], "source_id": "Secureworks", "reports": null }, { "id": "b3e954e8-8bbb-46f3-84de-d6f12dc7e1a6", "created_at": "2022-10-25T15:50:23.339976Z", "updated_at": "2026-04-10T02:00:05.27483Z", "deleted_at": null, "main_name": "Sandworm Team", "aliases": [ "Sandworm Team", "ELECTRUM", "Telebots", "IRON VIKING", "BlackEnergy (Group)", "Quedagh", "Voodoo Bear", "IRIDIUM", "Seashell Blizzard", "FROZENBARENTS", "APT44" ], "source_name": "MITRE:Sandworm Team", "tools": [ "Bad Rabbit", "Mimikatz", "Exaramel for Linux", "Exaramel for Windows", "GreyEnergy", "PsExec", "Prestige", "P.A.S. Webshell", "AcidPour", "VPNFilter", "Neo-reGeorg", "Cyclops Blink", "SDelete", "Kapeka", "AcidRain", "Industroyer", "Industroyer2", "BlackEnergy", "Cobalt Strike", "NotPetya", "KillDisk", "PoshC2", "Impacket", "Invoke-PSImage", "Olympic Destroyer" ], "source_id": "MITRE", "reports": null } ], "ts_created_at": 1775434173, "ts_updated_at": 1775826679, "ts_creation_date": 0, "ts_modification_date": 0, "files": { "pdf": "https://archive.orkl.eu/dac363b3fd7a2e2354754bb8b00642ee3b05cae7.pdf", "text": "https://archive.orkl.eu/dac363b3fd7a2e2354754bb8b00642ee3b05cae7.txt", "img": "https://archive.orkl.eu/dac363b3fd7a2e2354754bb8b00642ee3b05cae7.jpg" } }