새로운 기능을 탑재한 Valak 변종 발견!

Valak a sophisticated malware that completely changed in 6 months

최초 발견 당시에는 로더로 분류되었던 Valak 악성코드가 지난 6개월 간의 공격 업그레이드 작업을 통해 인포스틸러 기능을 탑재한 변종으로 재등장했습니다.

Valak은 2019년에 최초 발견된 악성코드로 주로 미국을 대상으로 하는 여러 캠페인에 사용되었으며, 초기에는 로더로 분류되었습니다. 

2020년 4월에 인포스틸러 기능을 탑재한 형태로 새롭게 발견되었습니다. Gozi라는 이름으로도 알려진 Ursnif, IcedID 악성코드와 함께 사용되는 경우가 많으며, 2020년 4월 기준으로 미국과 독일 사용자를 대상으로 하는 공격에서 지속적으로 등장했습니다.

조사 결과, 업그레이드 버전의 Valak 악성코드에는 아래와 같은 다양한 기능이 추가되었습니다. 

파일리스 단계: 레지스트리를 사용하여 다른 구성 요소를 저장하는 파일리스 단계가 포함됩니다.

정찰: 감염된 호스트에서 사용자, 컴퓨터, 네트워크 정보를 수집합니다.

위치 확인: 피해자 컴퓨터의 위치를 확인합니다.

스크린샷 캡처: 감염된 시스템의 스크린샷을 캡처합니다.

보조 페이로드 다운로드: 추가 플러그인 및 기타 악성코드를 다운로드합니다. 

엔터프라이즈 인식: 관리자 및 엔터프라이즈 네트워크를 대상으로 합니다. 

Exchange 서버에 침투: 자격 증명 및 도메인 인증서를 포함해 Microsoft Exchange 메일 시스템에서 중요한 정보를 수집 및 탈취합니다.

업그레이드 기능 중 “PluginHost”라는 구성 요소는 C2 통신을 제공하고 “ManagedPlugin”라는 이름으로 추가 플러그인을 다운로드합니다. 

“Systeminfo” and “Exchgrabber”라는 플러그인을 기업을 타깃으로 합니다. 악성 매크로를 포함한 Microsoft Word 문서를 주 감염 벡터로 사용하며, 피해자에 따라 영어 또는 독일어로 작성됩니다. 

악성 매크로 코드는 .cab 확장자를 가진 DLL 파일(“U.tmp”)을 다운로드하여 Temp 폴더에 저장합니다. 

DLL이 실행될 때에는 WinExec API 호출을 사용하여 드롭 및 동작합니다. 이 단계에서 실행할 때마다 변경되는 랜덤명을 가진 악성 JavaScript 파일(“sly4.0”)을 사용합니다. 

Valak 악성코드가 최초로 발견된 2019년 말에는 로더로 분류되었지만, 이후 단순히 로더가 아닌 정찰 및 정보 탈취 기능 등을 탑재한 정교한 형태의 모듈러 악성코드로 분류되었습니다. 

기존에 다른 악성코드와 조합하여 사용되던 방식에서 이제는 독립적으로도 사용이 가능한 악성코드가 되었으며 다양한 해커 집단과의 협력으로 위협적인 악성코드로 진화하고 있습니다. 

최신 버전은 Microsoft Exchange 서버를 대상으로 기업 메일 정보 및 암호를 기업 인증서와 함께 탈취합니다. 

이로 인해 중요 계정에 접근하면, 기업 이미지 저해와 소비자 신뢰 상실을 초래할 수 있어 기업들의 보안 강화가 필요합니다. 

출처:

https://securityaffairs.co/wordpress/103911/malware/valak-malware.html