Verblecon 악성 코드

Verblecon이라는 새로운 강력한 악성 코드에 대한 세부 정보가 공개되었습니다. 위협적인 변종은 2022년 1월에 연구원에 의해 처음 감지되었습니다. 그들의 발견에 따르면 현재 Verblecon Malware를 공격 작업의 일부로 사용하는 위협 행위자는 위협 기능의 작은 부분만 활용합니다. 실제로, 침해된 장치에 대해 수많은 침입 작업을 수행할 수 있는 능력이 있음에도 불구하고 지금까지 Verblecon은 암호화 마이닝 페이로드를 전달하는 로더의 역할로 강등되었습니다.

기술적 세부 사항

Verblecon 악성코드는 Java 기반이며 다형성을 가지고 있습니다. 이는 위협 요소의 페이로드 코드가 다운로드될 때마다 다르게 표시됨을 의미합니다. 이러한 정교한 기술은 일반적으로 사이버 스파이 활동에 관련된 위협 행위자가 사용합니다. 또한 위협의 코드 흐름, 문자열 및 기호가 모두 완전히 난독화되어 Verbelcon을 극도로 은밀하게 만듭니다.

위협 요소는 가상화 및 샌드박스 환경에 대한 여러 검사도 수행합니다. 현재 실행 중인 프로세스 목록을 가져오고 가상 머신 시스템과 관련된 것으로 알려진 미리 결정된 파일 선택과 일치시킵니다. 모든 검사를 통과하면 위협 요소는 %ProgramData% , %LOCALAPPDATA% 및 Users 와 같은 로컬 디렉터리에 자신을 복사하여 계속 실행됩니다.

Verblecon은 새로운 페이로드를 확보하고 배포하기 위해 주기적으로 C2(Command-and-Control) 서버와 연결을 시도합니다. 페이로드는 유사한 기술을 사용하여 난독화되며 가상화 징후가 있는지 환경도 확인합니다. 연구원에 따르면 페이로드의 주요 작업은 바이너리 파일을 다운로드하여 실행하는 것이며, 이 파일은 이후에 %Windows%\SysWow64\dllhost.exe 에 주입됩니다.

우리가 말했듯이 Verblecon과 관련된 현재 작업은 위협의 전체 기능을 활용하지 않으며 대부분 암호화 마이닝 위협을 전달하는 것으로 제한됩니다. 공격자가 피해자의 Discord 토큰을 얻는 데 관심이 있다는 징후도 있습니다.