시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 “JSSLoader”의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 “CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다.
[표 1]은 “JSSLoader”가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 “JSSLoader”는 2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 “Cmd_RAT”, “Cmd_PWS” 등의 명령어를 추가해 최종 10개의 명령어를 사용했다.
다음은 [표 1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 아닌 C++ 언어를 사용했기에 코드 구성의 차이를 보인다.
해당 악성코드는 명령어 수행 외에 감염된 PC의 정보를 수집해 공격자에게 전송한다. 기존에는 수집한 정보를 단순히 나열했다면, 2020년부터는 데이터 전달을 위한 포맷인 JSON(JavaScript Object Notation)을 사용해 데이터 조작을 조금 더 쉽게 했다.
"JSSLoader" 변종과 같이 기존에 사용하던 프로그래밍 언어를 변경하면 탐지가 어려워질 수 있으며, 공격자의 C&C 서버와 연결될 경우 추가 악성코드를 실행할 수 있으니 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.
'분석 정보 > 악성코드 분석 정보' 카테고리의 다른 글
| 안전 모드에서 실행되는 Crackonosh 코인 마이너 (0) | 2021.07.21 |
|---|---|
| Dropbox를 악용하는 악성코드 (0) | 2021.07.15 |
| LastConn 악성코드를 유포하는 Molerats 해커 그룹 (0) | 2021.06.28 |
| 새롭게 등장한 MaaS, Matanbuchus Loader (0) | 2021.06.28 |
| 불법 복제 프로그램으로 위장한 Vigilante 악성코드 (0) | 2021.06.25 |