분석 정보/악성코드 분석 정보

새롭게 등장한 MaaS, Matanbuchus Loader

알 수 없는 사용자 2021. 6. 28. 13:26

사이버 범죄 서비스인 Malware-as-a-Service(MaaS)가 최근 들어 더욱 활발하게 모습을 나타내고 있어 주의가 필요하다. 그 중, Matanbuchus Loader는 새롭게 등장한 악성코드로 해당 악성코드는 원격지와 통신하며 사용자 정보를 탈취하고 그 외 추가적인 명령 및 제어 동작을 수행한다.

 

한 해킹 포럼에서 처음 광고되었으며 $2500 달러에 판매가 되었다. 해당 게시글을 작성한 BelialDemon은 이전에TriumphLoader를 개발하여 판매한 것으로 추정된다.

 

[그림 1] 해킹 포럼 광고

사진 출처: https://unit42.paloaltonetworks.com/matanbuchus-malware-as-a-service/

 

엑셀 문서 파일을 통해 최초 유포되었으며, 최종 페이로드인 Matanbuchus.dll 악성 코드가 사용자 PC에 설치되면, 해당 파일은 이미지 스위칭되어 실행된다.

 

[그림 2] (좌) 변경 전, (우) 변경 후

 

아래의 그림과 같이 시스템 언어를 획득하여 Russian, Belarusian, Ukrainian, Tatar, Armenia 또는 Uzbek 언어를 사용하는 경우, 프로세스를 종료하여 악성 동작이 중단된다.

 

[그림 3] 시스템 언어 확인 코드

 

위의 언어를 사용하지 않는다면, MAC Address, PC 이름, PC 프로세서 정보, 해당 프로세스의 권한과 같은 정보를 탈취한다. 탈취한 정보는 원격지 서버로 전송할 내용을 확인하기 어렵도록 난독화한다. 먼저 탈취한 각각의 데이터를 1차적으로 난독화 한다. 아래의 그림은 MAC Address 주소를 난독화하는 코드이다.

 

[그림 4] 1차 난독화

 

1차 난독화한 데이터(빨간색 상자)를 포맷에 맞게 수집하여, base642차 난독화(초록색 상자)를 진행한다.

 

[그림 5] 2차 난독화

 

이렇게 획득한 정보를 원격지 서버에 송신한다. 현시점에는 해당 서버에 연결이 되지 않는다.

 

[그림 6] 패킷

 

이번 보고서에서 알아본 Matanbuchus Loader MaaS로서 온라인에서 판매되고 있으며, 원격지와 연결하여 사용자 정보를 탈취하고 추가적인 악성동작이 이루어질 수 있어 상당한 주의가 필요하다. 이러한 악성 코드의 피해를 최소한으로 예방하기 위해서는 백신 제품을 설치하여 업데이트를 진행하고, 발신지가 불분명한 링크나 첨부파일을 함부로 열어보아서는 안된다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 7] TACHYON Endpoint Security 5.0 진단 및 치료 화면