PEAKLIGHT 다운로더

사이버보안 연구원들은 후속 맬웨어 단계를 배포하고 궁극적으로 정보 도용 및 로더를 사용하여 Windows 시스템을 공격하도록 설계된 새로운 드로퍼를 발견했습니다.

이 메모리 전용 드로퍼는 PEAKLIGHT로 식별된 PowerShell 기반 다운로더를 복호화하고 실행합니다. 이 방법을 통해 배포된 맬웨어 종류에는 Lumma Stealer , Hijack Loader(DOILoader, IDAT Loader 또는 SHADOWLADDER라고도 함), CryptBot이 있으며, 모두 맬웨어 서비스(MaaS) 모델의 일부로 제공됩니다.

초기 공격 벡터 및 공격 체인

공격 체인은 사용자가 온라인에서 영화를 검색할 때와 같이 드라이브바이 다운로드 방식을 통해 다운로드되는 Windows 바로가기(LNK) 파일로 시작됩니다. 이러한 LNK 파일은 불법 복제 영화로 위장한 ZIP 아카이브에 패키징됩니다.

다운로드 후 LNK 파일은 난독화된 메모리 전용 JavaScript 드로퍼를 호스팅하는 CDN(콘텐츠 전송 네트워크)에 연결됩니다. 그런 다음 이 드로퍼는 피해자의 컴퓨터에서 PEAKLIGHT PowerShell 다운로더 스크립트를 실행하고, 이는 차례로 명령 및 제어(C2) 서버에 연결하여 추가 페이로드를 검색합니다.

연구자들은 다양한 LNK 파일 변형을 발견했는데, 그중 일부는 별표(*)를 와일드카드로 사용하여 합법적인 mshta.exe 바이너리를 호출하여 악성 코드(즉, 드로퍼)를 원격 서버에서 은밀하게 실행할 수 있었습니다.

PEAKLIGHT는 합법적인 영화 뒤에 위협적인 액션을 숨긴다

마찬가지로, 드로퍼는 16진수로 인코딩된 PowerShell 페이로드와 Base64로 인코딩된 PowerShell 페이로드를 모두 포함하는 것으로 밝혀졌습니다. 이러한 페이로드는 감염된 시스템에 후속 맬웨어를 배포하는 동시에 합법적인 영화 예고편을 미끼로 다운로드하도록 설계된 도구인 PEAKLIGHT를 실행하기 위해 압축 해제됩니다.

PEAKLIGHT는 다단계 실행 체인 내에서 난독화된 PowerShell 기반 다운로더로 기능합니다. 특정 하드코딩된 파일 경로에서 ZIP 아카이브를 검색합니다. 이러한 아카이브를 찾을 수 없으면 다운로더는 CDN 사이트에 연결하여 아카이브 파일을 다운로드하고 디스크에 저장합니다.

이것은 불법 복제 영화를 검색하는 사용자를 대상으로 하는 맬웨어의 첫 번째 사례가 아닙니다. 2024년 6월 초, 연구자들은 영화 다운로드 사이트에서 비디오 파일을 다운로드하려는 시도에 따라 Hijack Loader가 배포되는 정교한 감염 체인을 발견했습니다.

다운로더는 더욱 특수화된 맬웨어에 대한 문을 열어줍니다

다운로더 맬웨어는 개인과 조직 모두에게 여러 가지 심각한 위험을 초래합니다.

• 초기 침해 : 다운로더 맬웨어는 종종 더 큰 공격의 첫 단계입니다. 설치되면 더 진보된 맬웨어를 포함하여 추가 악성 페이로드를 조용히 다운로드하고 설치할 수 있습니다.
• 데이터 유출 : 다운로더 맬웨어가 전달하는 추가 페이로드에는 로그인 자격 증명, 금융 정보, 개인 세부 정보와 같은 비공개 데이터를 캡처하는 정보 도용자가 포함될 수 있으며, 이는 신원 도용 및 재정적 손실로 이어질 수 있습니다.
• 시스템 하이재킹 : 일부 다운로더 맬웨어는 원격 액세스 도구나 백도어를 배포하도록 설계되어 공격자가 감염된 시스템을 제어할 수 있습니다. 이는 기업 네트워크에 대한 무단 액세스, 데이터 침해 및 추가 시스템 손상으로 이어질 수 있습니다.
• 랜섬웨어 배포 : 다운로더 맬웨어는 랜섬웨어를 설치하는 데 사용될 수 있으며, 이는 피해자의 파일을 암호화하고 이를 해제하기 위해 몸값을 요구할 수 있습니다. 이는 상당한 데이터 손실과 운영 중단을 초래할 수 있습니다.
• 취약성 증가 : 다운로더 맬웨어는 설치되면 시스템 방어를 약화시키고 다른 유형의 맬웨어가 악용할 수 있는 취약성을 만들 수 있습니다. 이로 인해 공격자는 더 위험하거나 지속적인 위협을 배포하기가 더 쉬워집니다.
• 네트워크 전파 : 다운로더 맬웨어는 네트워크 전반에 퍼져서 같은 환경 내의 다른 장치와 시스템을 감염시킬 수 있습니다. 이는 광범위한 피해를 일으키고 복구 작업의 복잡성을 증가시킬 수 있습니다.
• 리소스 드레인 : 맬웨어는 CPU 및 대역폭과 같은 시스템 리소스를 소모하여 성능이 저하되고 잠재적인 서비스 중단을 초래할 수 있습니다. 이는 생산성에 영향을 미치고 운영 비용을 증가시킬 수 있습니다.
• 법률 및 규정 준수 위험 : 감염된 조직은 특히 데이터 침해에 민감하거나 규제되는 정보가 관련된 경우 법률 및 규정 준수 문제에 직면할 수 있습니다. 이는 벌금, 법적 조치 및 평판 손상으로 이어질 수 있습니다.

전반적으로 다운로더 맬웨어는 추가 공격을 용이하게 하고 영향을 받는 시스템과 네트워크의 보안과 무결성을 손상시키는 역할을 하기 때문에 심각한 위협입니다.