상세 컨텐츠

본문 제목

악성 스팸을 통한 다단계 악성코드 로더 'JasperLoader', 유럽 공격해

국내외 보안동향

by 알약(Alyac) 2019. 4. 30. 11:04

본문

Europeans Hit with Multi-Stage Malware Loader via Signed Malspam


지난 몇 달 동안 JasperLoader라는 다단계 악성코드 로더의 도움을 받아 GootKit(Talalpek 또는 Xswkit) 뱅킹 트로이목마를 배포하는 악성 스팸 캠페인이 발견되었습니다.


이 로더는 시스코 탈로스(Cisco Talos)의 연구 팀이 2018년 7월 이후 발견한 세 번째 로더입니다.


이 로더는 작년에 랜섬웨어 및 가상화폐 마이너 페이로드를 드랍하는데 사용한 Smoke Loader(=Dofoli)와 함께 발견되었습니다.


또 다른 다단계 악성 로더인 Brushaloader는 2019년 초 발견되었는데, 해킹된 시스템에서 탐지되지 않기 위해 PowerShell 스크립트와 같은 자급자족형 툴을 사용했습니다.


악성코드 로더는 다양한 악성 페이로드를 피해자의 기기에 쉽게 드랍할 수 있어 공격자들에게 인기 있는 툴입니다.


JasperLoader는 지난 몇 달간 활동이 증가해왔으며, 현재 시스코 탈로스가 추적하는 악성 로더입니다.


악성 스팸 캠페인 공격자들은 유럽 중부 지역 중에서도 특히 이탈리아와 독일을 집중적으로 공격했습니다.



[그림 1] 악성 이메일 샘플

<이미지 출처: https://blog.talosintelligence.com/2019/04/jasperloader-targets-italy.html>


JasperLoader는 분석을 더욱 어렵게 하는 난독화 기술을 포함한 다단계 감염 프로세스를 사용합니다.


거기다 탄력성과 유연성을 염두에 두고 설계된 것으로 보입니다.


연구원들은 JasperLoader가 DanaBot, Neutrino 익스플로잇 키트, Emotet을 배포했었던 Gootkit 뱅킹 트로이목마를 악성 스팸 캠페인을 통해 배포하는 것을 확인했습니다.


Gootkit은 백도어로써 동작하며 사용자의 민감 정보를 탈취할 수 있습니다.


시스코 탈로스 측이 탐지한 악성 캠페인들은 그들이 타깃인 유럽 국가에 맞게 설정되어 있었습니다. 


JasperLoader 유포를 위해 사용된 첨부파일들은 어플리케이션용 비주얼 베이직(VBS) 스크립트, VBA 매크로가 포함된 DOCM 문서, 악성 JS 다운로더였습니다.


언급된 문서들은 악성 페이로드를 다운로드하는 프로세스 시작을 위해 사용되었습니다.


일부 캠페인에서는 JS와 XML 파일 및 합법적인 PDF 인보이스 파일이 담긴 ZIP 파일도 발견되었습니다.



[그림 2] 합법적인 인증 서비스를 통해 서명된 인증서

<이미지 출처: https://blog.talosintelligence.com/2019/04/jasperloader-targets-italy.html>


공격자들은 피해자가 악성 이메일을 오픈하도록 유도하기 위해 이탈리아, 스위스, 홍콩에서 사용하는 PEC(Posta Elettronica Certificata)로 서명된 이메일을 발송했습니다.


이러한 악성 캠페인이 위험한 이유는 합법적인 인증 서비스를 통해 서명된 이메일을 보내기 때문입니다.


JasperLoader는 성공적으로 타깃을 감염시키고 나서 해킹된 컴퓨터가 러시아, 우크라이나, 벨라루스, 중국에 위치할 경우 자기 자신을 종료합니다.


이후, 기기가 재부팅 될 때마다 감염된 시스템의 시작 폴더에 LNK 바로가기를 추가해 지속성을 획득합니다.


그리고 C&C 서버로 전송될 봇의 식별자를 생성해 운영자의 봇넷에 기기를 등록시키고, C&C 서버로부터의 명령을 기다리는 대기 상태가 됩니다.


JasperLoader는 로더를 업데이트하고, Powershell 기반 시스템 명령을 실행하며, 최종 GootKit 악성 페이로드를 다운로드하도록 허용합니다.


[그림 3] 최종 페이로드 다운로드

<이미지 출처: https://blog.talosintelligence.com/2019/04/jasperloader-targets-italy.html>


공격자들은 유효한 인증서를 사용해 서명함으로써 해당 메시지가 합법적인 메시지인 것처럼 보이도록 만들었습니다.


메시지 서명은 개인 키에 접근이 가능한 경우에만 가능합니다.


또한 정식 이메일 서비스를 악용하여 악성 이메일을 보내, 잠재적 피해자가 악성 첨부파일을 오픈하여 JasperLoader에 감염될 확률을 극대화했습니다.


현재 알약에서는 해당 악성코드에 대해 Trojan.Downloader.DOC.gen으로 탐지 중에 있습니다.




참조:

https://www.bleepingcomputer.com/news/security/europeans-hit-with-multi-stage-malware-loader-via-signed-malspam/

https://blog.talosintelligence.com/2019/04/jasperloader-targets-italy.html

관련글 더보기

댓글 영역