LilithBot

LilithBot은 MaaS(Malware-as-a-Service) 체계에서 제공되는 광범위한 위협 기능을 포함하는 새로운 맬웨어 위협입니다. 위협은 Eternity(EternityTeam, Eternity Project)로 추적되는 위협 그룹에서 제공하는 해커 도구의 일부입니다. 사이버 범죄자들은 최소 2022년 1월부터 활동했으며 러시아 'Jester Group'과 연결되었습니다. LilithBot과 그 개발자에 대한 세부 정보는 사이버 보안 연구원의 보고서에서 대중에게 공개되었습니다.

그들의 조사 결과에 따르면 LilithBot은 전담 텔레그램 그룹을 통해 잠재적인 사이버범죄 고객에게 제공되고 있으며 Tor 네트워크에서 호스팅되는 웹사이트로 연결되는 링크를 따라가면 구매할 수 있습니다. 이 사이트는 Eternity 해커 제품의 홈페이지 역할을 하며 가장 비싼 도구는 랜섬웨어 위협입니다.

LilithBot의 경우 위협은 봇넷의 기능과 크립토 마이너, 클리퍼 및 스틸러의 기능을 결합한 정교한 맬웨어입니다. Infosec 연구원은 LilithBot이 개발 프로세스 중에 여러 번 반복되었으며 이전 버전에 있던 명령은 이후 릴리스에서 제거되었다고 말합니다. 그러나 연구원들은 위협 행위자가 제거된 기능을 여전히 수행할 수 있지만 더 은밀한 방식으로 수행할 수 있다고 경고합니다.

감염된 시스템에서 활성화되면 위협 요소는 먼저 자신을 봇으로 등록합니다. 그런 다음 LilithBot은 자체 암호를 해독하여 구성 파일을 장치에 삭제합니다. 맬웨어는 수동으로 해독되는 것을 방지하기 위해 자체 해독 메커니즘을 사용합니다. 위협 요소의 스틸러 구성 요소는 브라우저 기록, 쿠키 및 사진과 같은 개인 데이터를 포함하는 정보를 수집합니다. 획득한 파일은 작업의 Command-and-Control(C2, C&C) 서버로 보내기 전에 ZIP 아카이브에 추가됩니다.

LilithBot은 가짜 인증서를 사용하여 탐지되지 않은 상태로 남아 있을 가능성을 높입니다. 그러나 식별된 인증서는 'Microsoft Code Signing PCA 2011'에서 발급한 것으로 보이지만 적절한 확인 및 연대 서명이 없습니다.