시스템에 침입한 후, 추가 악성 페이로드를 배포하기 위해 사용하는 악성코드인 JSSLoader의 변종이 발견됐다. 기존에는 .NET으로 제작했으나 이번에 발견된 변종은 C++ 언어로 만들어졌다. 또한, 특정 APT 그룹에서 해당 로더를 사용해 주로 CARBANAK” 백도어 악성코드를 다운로드 및 실행하는 것으로 알려졌다.

 

 

[ 1]JSSLoader가 사용하는 명령어를 2019년부터 각 해마다 정리한 표이다. 2020년에 등장한 JSSLoader2019년도에 발견한 샘플에서 사용하던 5개의 명령어 외에 Cmd_RAT, Cmd_PWS 등의 명령어를 추가해 최종 10개의 명령어를 사용했다.

 

[표 1] JSSLoader 명령어 비교

 

다음은 [1]에 작성한 명령어의 코드이다. 최근 발견한 샘플은 기존에 사용하던 .NET이 아닌 C++ 언어를 사용했기에 코드 구성의 차이를 보인다.

 

[그림 1] 연도별 JSSLoader 명령어 코드 비교

 

해당 악성코드는 명령어 수행 외에 감염된 PC의 정보를 수집해 공격자에게 전송한다. 기존에는 수집한 정보를 단순히 나열했다면, 2020년부터는 데이터 전달을 위한 포맷인 JSON(JavaScript Object Notation)을 사용해 데이터 조작을 조금 더 쉽게 했다.

 

[그림 2] JSSLoader 데이터 수집 변화 비교

 

 

"JSSLoader" 변종과 같이 기존에 사용하던 프로그래밍 언어를 변경하면 탐지가 어려워질 수 있으며, 공격자의 C&C 서버와 연결될 경우 추가 악성코드를 실행할 수 있으니 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 3] TACHYON Internet Security 5.0 진단 및 치료 화면

 

 

 

댓글

댓글쓰기