Technical Analysis of RiseLoader
Technical Analysis of RiseLoader
Technical analysis of RiseLoader | A new malware loader that shares similarities with RisePro
www.zscaler.com
- 개요
- ThreatLabz가 2024년 10월에 처음 발견한 신규 로더형 악성코드
- 기존 RisePro와 유사한 TCP 기반 통신 프로토콜 사용
- 개발자 측에서 이미 중단되었다고 알려진 RisePro와 동일 조직이 연관되었을 가능성 존재
- 주요 기능
- 대부분 VMProtect로 보호되어 소스 코드 분석 난이도 상승
- 실행 시 특정 뮤텍스를 생성해 중복 실행 방지
- 정보 수집 기능: 암호화폐 지갑, 브라우저 확장 프로그램, 특정 앱 정보를 스캔한 후 서버에 전송
- 백엔드 서버로부터 전달받은 페이로드(DLL, EXE 등)를 다운로드 후 실행
- 흔히 Vidar, Lumma Stealer, XMRig, Socks5Systemz 등 2차 악성코드 배포에 활용
- 네트워크 통신
- C2 서버와 TCP 통신을 통해 악성 명령 주고받음
- 연결 후 XOR 키 설정 메시지를 받아 이후 데이터 암호화 수행
- JSON 기반의 명령(페이로드 다운로드, 감염 표시 레지스트리 생성 등)을 처리
- KEEPALIVE(생존 신호) 메시지를 통해 연결 유지, 일정 횟수 실패 시 종료
- 페이로드 실행 후 TASKS_EXECUTED 메시지로 공격자 서버에 성공 여부 보고
- 결론
- RiseLoader는 기존 RisePro와 통신 구조가 유사하며 동일 조직 소행일 가능성이 높음
- 암호화폐 지갑과 브라우저 확장 프로그램 등 민감 정보를 노려 추가 악성코드를 설치
- 기업 및 개인 사용자는 VMProtect 등 난독화된 악성코드 대응을 위해 최신 보안 솔루션과 지속적인 모니터링이 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 국가적 침해사고 분석 체계 구축의 필요성 (0) | 2025.01.03 |
|---|---|
| Lazarus 그룹, 핵 관련 엔지니어 노린 CookiePlus 백도어 공격 포착 (0) | 2025.01.03 |
| Cl0p, 클레오(Cleo) 취약점 악용해 데이터 유출 위협 (1) | 2025.01.03 |
| 러시아 위협 그룹 Secret Blizzard, 우크라이나 대상 공격에서 다른 그룹의 툴 재활용 (0) | 2025.01.03 |
| 해커, MSC 파일 악용해 파키스탄 대상 백도어 배포 공격 (0) | 2025.01.03 |