Eclipse Jarsigner를 악용한 XLoader 악성코드 유포 캠페인 분석

Cybercriminals Use Eclipse Jarsigner to Deploy XLoader Malware via ZIP Archives

 

• 개요
  • 사이버 범죄자들이 Eclipse Foundation의 jarsigner.exe를 악용하여 XLoader 악성코드를 유포
  • DLL 사이드로딩 기법을 사용해 정상 애플리케이션 실행 시 악성코드를 함께 로드
  • 악성코드는 ZIP 압축 파일 내에 포함되어 사용자가 실행하도록 유도
• 공격 기법 및 전파 방식
  • 악성 파일 구성 요소
    • Documents2012.exe: 합법적인 jarsigner.exe의 이름 변경 파일
    • jli.dll: 악성코드를 로드하기 위해 변조된 DLL 파일
    • concrt140e.dll: 암호화된 XLoader 페이로드
  • 공격 흐름
    • 피해자가 ZIP 파일 내 Documents2012.exe 실행 시 jli.dll이 로드됨
    • jli.dll이 concrt140e.dll을 복호화하여 aspnet_wp.exe에 인젝션
    • XLoader가 실행되어 시스템 및 브라우저 정보 수집, 추가 악성코드 다운로드 수행
• XLoader 악성코드 특징 및 기능
  • 기능
    • 사용자 PC 정보 및 브라우저 로그인 데이터 탈취
    • 추가 악성코드 다운로드 및 실행
    • 키로깅 및 클립보드 데이터 수집
  • 기술적 특징
    • Formbook 악성코드 계열의 후속 변종
    • MaaS(서비스형 악성코드) 모델로 유통되어 다양한 공격자가 사용 가능
    • 버전 6 및 7
      • 코드 난독화 및 암호화 적용으로 탐지 및 분석 회피
      • NTDLL 후킹 회피 및 런타임 시 코드 암호 해제
    • 위장 트래픽 생성
      • C2 서버와 정상 도메인에 대한 트래픽을 섞어 탐지 회피
      • 서로 다른 암호화 키와 알고리즘을 사용해 통신 암호화
• 관련 위협 및 공격 그룹
  • 유사 사례
    • SmokeLoader 및 Pushdo: 유사한 위장 트래픽 및 사이드로딩 기법 사용
    • SmartApeSG(ZPHP, HANEYMANEY)
      • NetSupport RAT을 유포하기 위해 DLL 사이드로딩 악용
      • 추가적으로 StealC 악성코드를 배포
    • NodeLoader 및 RiseLoader
      • Vidar, Lumma, Phemedrone, XMRig, Socks5Systemz 등 다양한 악성코드 배포
      • RiseLoader와 RisePro 간 유사한 네트워크 프로토콜 및 페이로드 구조 공유
• Eclipse Foundation의 입장 및 대응
  • 보안 취약점 부정
    • 문제는 Windows의 DLL 로딩 방식으로 인한 것이며 Eclipse 소프트웨어의 취약점은 아님
    • 공격자는 정상 서명된 바이너리를 악용하여 악성 DLL과 함께 배포
  • 내부 시스템 무결성 확인
    • Eclipse Foundation 인프라 및 빌드 시스템에 대한 침해 증거 없음
    • 공식 소프트웨어 배포 채널은 안전하다고 강조
• 보안 권고
  • 사용자 및 조직 권장 사항
    • 출처가 불분명한 ZIP 파일 및 실행 파일 열람 금지
    • 의심스러운 파일 실행 전 파일 확장자 확인 및 디지털 서명 검토
    • 권한 없는 DLL 로딩 방지를 위해 애플리케이션 제어 정책 적용
  • 기술적 방어 조치
    • 안티바이러스 및 EDR 솔루션을 최신 상태로 유지하여 실시간 탐지 강화
    • DLL 사이드로딩 방어 기능 지원하는 솔루션 도입
    • 네트워크 트래픽 모니터링 및 C2 서버 차단
  • 교육 및 내부 절차 강화
    • 직원 대상 사회공학 및 피싱 방지 교육 강화
    • 의심스러운 이메일 첨부 파일 및 다운로드 링크 클릭 자제