CoffeeLoader Uses GPU-Based Armoury Packer to Evade EDR and Antivirus Detection
- 위협 개요
- CoffeeLoader는 2단계 페이로드 다운로드 및 실행을 주요 목적으로 하는 고도화된 악성 로더
- EDR(Endpoint Detection and Response) 및 안티바이러스(AV) 탐지를 우회하기 위한 복잡한 은폐 기술 사용
- SmokeLoader와 코드 유사성이 존재하며, 일종의 차세대 변종으로 추정됨
- 주요 감염 흐름
- 초기 감염은 드로퍼(Dropper) 실행으로 시작되며, UAC 우회 시도
- Armoury로 위장된 DLL 페이로드(
ArmouryAIOSDK.dll,ArmouryA.dll)를 GPU 상에서 실행 - 사용자 로그온 시 또는 10분 간격 실행되는 작업 스케줄러 등록을 통해 지속성 확보
- 이후 스테이저(Stager)가 메인 모듈 로딩 수행
- 보안 우회 기술 상세
- GPU 기반 실행
- Armoury Crate로 위장한 전용 패커(Armoury)가 GPU 상에서 코드 실행
- 가상 환경 및 동적 분석 회피 목적
- 콜 스택 위조(Call Stack Spoofing)
- 함수 호출의 출처를 은폐하여 보안 솔루션 탐지 회피
- 수면 난독화(Sleep Obfuscation)
- 샌드박스 탐지를 피하기 위해 지연 실행 구조 사용
- Windows Fibers 사용
- 다중 경량 스레드를 활용한 탐지 회피 및 컨텍스트 전환 은폐
- GPU 기반 실행
- C2 통신 및 페이로드
- HTTPS 기반으로 C2 서버와 통신하여 추가 페이로드 로딩
- 최종적으로 Rhadamanthys 쉘코드 인젝션 및 실행 수행
- 도메인 생성 알고리즘(DGA)을 활용한 C2 장애 대비 보조 채널 운영
- SmokeLoader와의 연관성
- Zscaler 분석 결과 SmokeLoader와 CoffeeLoader의 코드 유사성 존재
- 2024년 SmokeLoader 인프라 제거 이후 CoffeeLoader가 후속 위협으로 부상 가능성
- 일부 캠페인에서는 SmokeLoader가 CoffeeLoader를 배포자로서 활용한 정황 확인
- 보안 권고
- GPU 실행 로직 감지 가능한 보안 솔루션 필요
- DLL 위장 실행 및 UAC 우회 탐지 시나리오 구축
- Scheduled Task 기반의 지속성 확보 탐지 시나리오 강화
- HTTPS 통신 내 악성 행위 탐지 가능하도록 SSL/TLS 복호화 장비 적용
- Rhadamanthys 등 후속 페이로드 탐지 IOC 연계 필요
- 결론
- CoffeeLoader는 EDR 회피 및 고급 은폐 기법을 통합한 신종 위협 행위자 도구로 평가됨
- 조직은 정적 탐지 기반 접근 외에 행위 기반 탐지(Behavior-based Detection) 체계 도입 필수
- GPU 메모리 내 악성코드 실행을 차단하거나 로깅할 수 있는 커널 기반 보안 기술 적용 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 오래된 npm 패키지 탈취 사례를 통한 API 키 유출 캠페인 분석 (1) | 2025.05.09 |
|---|---|
| Cloudflare의 OPKSSH 도입: SSH와 SSO 통합을 통한 접근 제어 혁신 (0) | 2025.05.09 |
| PJobRAT 안드로이드 악성코드 캠페인 분석: 대만 사용자 대상 위장 채팅앱 공격 (0) | 2025.05.09 |
| Discord 기반 Python RAT 악성코드 분석 및 대응 전략 (1) | 2025.05.09 |
| Morphing Meerkat 피싱 키트의 DNS MX 레코드 악용 기반 대규모 위협 분석 (0) | 2025.05.09 |