Home > Àüü±â»ç

½ÅÁ¾ Á¤º¸Å»Ãë ¾Ç¼ºÄÚµå LummaC2, ºÒ¹ý Å©·¢ À§ÀåÇØ À¯Æ÷

ÀÔ·Â : 2023-03-22 18:25
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¹®ÀÚ¿­ ¹× ÄÚµå ³­µ¶È­ µ¿Àû API È£Ãâ µî ºÐ¼®¹æÇØ µî ÁøÇà
ºê¶ó¿ìÀú µ¥ÀÌÅÍ ¹× È®Àå ÇÁ·Î±×·¥, ¾ÏȣȭÆó Áö°© ÇÁ·Î±×·¥ µî ´Ù¾çÇÑ Á¤º¸ Å»Ãëµµ


[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ½ÅÁ¾ Á¤º¸Å»Ãë ¾Ç¼ºÄÚµå ¡®LummaC2¡¯°¡ Å©·¢, ½Ã¸®¾ó µîÀÇ ºÒ¹ý ÇÁ·Î±×·¥À¸·Î À§ÀåÇØ À¯Æ÷ ÁßÀÌ´Ù. ÀÌ·¯ÇÑ ¹æ½ÄÀ¸·Î CryptBot, RedLine, Vidar, RecordBreaker(Raccoon V2) µîÀÇ ¾Ç¼ºÄڵ尡 À¯Æ÷µÇ±âµµ Çß´Ù. LummaC2 ¾Ç¼ºÄÚµå´Â À¯Æ÷µÈ ÆÄÀϸíÀ¸·Î º¼ ¶§ ´ÙÀ½ ÆäÀÌÁö·ÎºÎÅÍ ´Ù¿î·ÎµåµÆÀ» °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

¡ã¾Ç¼ºÄÚµå À¯Æ÷ ÆäÀÌÁö ¿¹½Ã[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀ¿¡ µû¸£¸é LummaC2 Stealer´Â ¿ÃÇØ ÃʺÎÅÍ ´ÙÅ©À¥¿¡¼­ ÆǸŵǴ °ÍÀ¸·Î º¸À̸ç, ¿ÃÇØ 3¿ùºÎÅÍ´Â Å©·¢ À§Àå °ø°Ý ±×·ì¿¡ ÀÇÇØ À¯Æ÷ ÁßÀÌ´Ù. ÇØ´ç ¹æ½ÄÀ¸·ÎÀÇ ¾Ç¼ºÄÚµå À¯Æ÷´Â ´ëºÎºÐ RecordBreaker(Raccoon V2) ¾Ç¼ºÄڵ尡 »ç¿ëµÇ³ª, LummaC2 Stealer°¡ Á¾Á¾ ¸ð½ÀÀ» º¸ÀÌ°í ÀÖ´Ù. ÇØ´ç ¾Ç¼ºÄÚµå´Â ÀÌ´Þ 3ÀÏ ÃÖÃÊ·Î ¹ß°ßµÆÀ¸¸ç, 12ÀÏ°ú 20ÀÏ¿¡µµ À¯Æ÷µÈ ÀÌ·ÂÀÌ È®ÀεǸç, ÀÏÁÖÀÏ °£°ÝÀ¸·Î ¸ð½ÀÀ» µå·¯³»°í ÀÖ´Ù.

LummaC2Àº À¯¸í ¼ÒÇÁÆ®¿þ¾îÀÇ Crack, Serial µîÀ» °Ë»öÇØ ¾Ç¼º »çÀÌÆ®·Î Á¢¼ÓÇÏ¸é ¹ß°ßÇÒ ¼ö ÀÖ´Ù. ÇØ´ç »çÀÌÆ®¿¡¼­ ƯÁ¤ ÆÄÀÏÀ» ³»·Á¹Þ±â À§ÇØ ´Ù¿î·Îµå ¹öÆ°À» ´©¸¦ °æ¿ì ´Ù¼öÀÇ ¸®µð·º¼ÇÀ» °ÅÃÄ ¾Ç¼ºÄÚµå À¯Æ÷ ÆäÀÌÁö¿¡ µµ´ÞÇÑ´Ù. ÇØ´ç ÆäÀÌÁö¿¡ ¸í½ÃµÈ URL¿¡ Á¢¼ÓÇϰųª, ´Ù¿î·Îµå ¹öÆ°À» ´©¸£°Ô µÇ¸é ¾ÐÃàµÈ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇÏ°Ô µÈ´Ù, ÀÌ ¾Ç¼ºÄÚµå´Â °ø°ÝÀÚ ÀÚü °³¼³ ¼­¹ö¸¦ ÅëÇϰųª MediaFire, MEGA µîÀÇ ¼­ºñ½º¸¦ È°¿ëÇϱ⵵ ÇÑ´Ù.

ÀÌ·¯ÇÑ ¹æ½ÄÀ¸·Î ÃÖÃÊ À¯Æ÷µÈ »ùÇÃÀº ¡®NewSetupV4-Pass-55551.rar¡¯ À̸§ÀÇ ¾ÐÃàÆÄÀÏÀ̾ú´Ù. ÀÌ ¾ÐÃàÆÄÀÏ ³»ºÎ¿¡´Â ¡®setup.rar¡¯À̶ó´Â À̸§ÀÇ ¶Ç ´Ù¸¥ ¾ÐÃàÆÄÀÏÀÌ Á¸ÀçÇÏ°í À̸¦ ÇØÁ¦ÇÏ°Ô µÇ¸é ¡®setupfile.exe¡¯ ÆÄÀϸíÀÇ LummaC2 ¾Ç¼ºÄڵ尡 »ý¼ºµÈ´Ù. ÇØ´ç ¾Ç¼ºÄڵ尡 óÀ½ À¯Æ÷µÆ´ø ÆäÀÌÁö¿¡¼­´Â ÇöÀç Vidar ¾Ç¼ºÄڵ尡 À¯Æ÷ ÁßÀÌ´Ù.

Å©·¢À¸·Î À§ÀåÇØ À¯Æ÷µÈ LummaC2´Â Áö±Ý±îÁö ¡âCryptBot°ú µ¿ÀÏÇÑ ¿ÜÇüÀ¸·Î, ClipBanker¸¦ ÇÔ²² ¼³Ä¡ÇÏ´Â À¯Çü ¡âC2·ÎºÎÅÍ ¾Ç¼º DLLÀ» ´Ù¿î·ÎµåÇÏ´Â À¯Çü ¡âÀ¯Æ÷ ÆÄÀÏ ÀÚü·Î LummaC2 ¾Ç¼ºÄÚµåÀÎ À¯Çü µî 3°¡Áö À¯ÇüÀ¸·Î À¯Æ÷µÆ´Ù.

LummaC2 »ùÇõéÀº ºÐ¼® ¹æÇØ(¹®ÀÚ¿­ ³­µ¶È­, ÄÚµå ³­µ¶È­, µ¿Àû API È£Ãâ, Anti-Sandbox, ´Ù¾çÇÑ Ç÷§ÆûÀ» ¾Ç¿ëÇÏ´Â Vidar Stealer) ¶Ç´Â ¸í·ÉÁ¦¾î(C&C) Åë½Å µîÀÇ Æ¯Â¡ÀÌ ¹ß°ßµÆ´Ù.

¡®¹®ÀÚ¿­ ³­µ¶È­¡¯´Â ¾Ç¼º ÇàÀ§¿¡ »ç¿ëµÇ´Â ¹®ÀÚ¿­ »çÀÌ¿¡ ¡®edx765¡¯ ¹®ÀÚ¿­À» ´Ù¼ö ³Ö¾î ³­µ¶È­Çß´Ù. ¡®ÄÚµå ³­µ¶È­¡¯´Â ÄÚµå ´ëºÎºÐ¿¡¼­ ƯÁ¤ º¯¼ö¿¡ °ªÀ» º¯°æÇÏ¸ç ¼ö¸¹Àº Á¶°Ç¹®, Jump¹®À» »ç¿ëÇÏ´Â ¹æ½ÄÀ¸·Î ½ÇÇà È帧À» Á¦¾îÇÑ´Ù. ÀÌ´Â ºÐ¼®À» ¾î·Æ°Ô Çϱâ À§ÇÑ ¹æÆíÀ¸·Î Ç®À̵ȴÙ.

¡ã¹®ÀÚ¿­ ³­µ¶È­ ¹× ÄÚµå ³­µ¶È­ ¿¹½Ã(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¡®µ¿Àû API È£Ã⡯Àº ¾Ç¼º ÇàÀ§¿Í °ü·ÃµÈ API »ç¿ë ½Ã Import Table, ¶Ç´Â GetProcAddress µîÀÇ ÇÔ¼ö¸¦ »ç¿ëÇÏÁö ¾Ê°í ·ÎµåµÈ ´ë»ó DLL¿¡ Á÷Á¢ Á¢±ÙÇØ API ÁÖ¼Ò¸¦ ¾ò´Â´Ù. ¾Ç¼ºÄÚµå´Â ÇÔ¼ö¸íÀ» ¿¬»êÇÑ °ª¸¸ °®°í ÀÖÀ¸¸ç, ´ë»ó DLLÀÇ Export Table¿¡ Á¤ÀÇµÈ ÇÔ¼ö¸í Áß µ¿ÀÏ °ªÀÌ ³ª¿À´Â ÇÔ¼ö¸¦ ã´Â ¹æ½ÄÀÌ´Ù. ÇàÀ§¿¡ »ç¿ëµÇ´Â API¸¦ ¼û±â±â À§ÇØ ¾Ç¼ºÄڵ忡¼­ ÀÚÁÖ »ç¿ëµÇ´Â ¹æ½ÄÀÌ´Ù.

¡ãµ¿Àû API È£Ãâ ¹× DLL ·Îµù È®ÀÎ(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¡®Anti-Sandbox¡¯´Â ½ÇÇà Ãʱâ, »÷µå¹Ú½º ¿ìȸ ÇàÀ§·Î º¸ÀÌ´Â ¡âDLL ·Îµù È®ÀÎ ¡âSleep ÇÔ¼ö ¿ìȸ È®ÀÎ ¡â°èÁ¤¸í ¹× ÄÄÇ»Å͸í È®ÀÎ µî 3°¡Áö ÇÔ¼ö°¡ Á¸ÀçÇÑ´Ù. °¢ ÇÔ¼ö¿¡¼­ ƯÁ¤ Á¶°Ç¿¡ ºÎÇÕÇÒ °æ¿ì ¹«ÇÑ Àç±Í ÇÔ¼ö¸¦ ½ÇÇàÇØ Crash¿Í ÇÔ²² ÇÁ·Î¼¼½º°¡ Á¾·áµÈ´Ù.

¡®DLL ·Îµù È®ÀΡ¯Àº ¡®ters-alreq-std-v19.dll¡¯ À̸§ÀÇ DLL ·Îµå°¡ ¼º°øÇÒ °æ¿ì Crash°¡ ¹ß»ýÇÑ´Ù. ÀÌ DLLÀº ÀϹÝÀûÀÎ ½Ã½ºÅÛ¿¡´Â ¾ø±â ¶§¹®¿¡ ƯÁ¤ ºÐ¼® ȯ°æ(»÷µå¹Ú½º µî)À» ¿ìȸÇÒ ¸ñÀûÀ̰ųª Kill-Switch µîÀ¸·Î »ç¿ëµÉ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.

¡®Sleep ÇÔ¼ö ¿ìȸ È®ÀΡ¯Àº Sleep() ÇÔ¼ö¿Í GetSystemTimeAsFileTime() ÇÔ¼ö¸¦ »ç¿ëÇØ Sleep ÇÔ¼ö »çÀÌ °æ°ú ½Ã°£ °ªÀ» È®ÀÎÇÑ´Ù. ¸¸ÀÏ Sleep ÇÔ¼ö°¡ ¹«½ÃµÆ´Ù¸é Crash°¡ ¹ß»ýÇÑ´Ù.

¡®°èÁ¤¸í ¹× ÄÄÇ»Å͸í È®ÀΡ¯Àº °èÁ¤¸í°ú ÄÄÇ»Å͸íÀ» ¿¬»ê ÈÄ Æ¯Á¤ °ª°ú ºñ±³ÇØ ÀÏÄ¡ÇÒ °æ¿ì Crash¸¦ ¹ß»ý½ÃŲ´Ù. ºñ±³ ´ë»ó °ªÀº 0x56CF7626, 0xB09406C7À̸ç ÀÌ´Â °¢°¢ ¡®JohnDoe¡¯, ¡®HAL9TH¡¯·Î È®ÀεƴÙ. ÇØ´ç °èÁ¤¸í°ú ÄÄÇ»Å͸íÀº Windows Defender ¿¡¹Ä·¹ÀÌÅÍ È¯°æ°ªÀ¸·Î ¾Ë·ÁÁ³À¸¸ç, µ¿ÀÏ °ø°ÝÀ¸·Î À¯Æ÷µÇ´Â Vidar ¾Ç¼ºÄڵ忡µµ Á¸ÀçÇÏ´Â ±â´ÉÀÌ´Ù.

¡®´Ù¾çÇÑ Ç÷§ÆûÀ» ¾Ç¿ëÇÏ´Â Vidar Stealer¡¯¿¡¼­ À¯Àú¸í È®ÀÎÀº Á¦´ë·Î ±¸ÇöµÆÁö¸¸, ÄÄÇ»ÅÍ¸í ¹®ÀÚ¿­ ±æÀÌ´Â 6ÀÌ ¾Æ´Ñ 7°ú ºñ±³Çϴµ¥, ¾Ç¼ºÄÚµå Á¦ÀÛÀÚÀÇ ½Ç¼ö·Î ÃßÁ¤µÈ´Ù. ¸¸ÀÏ °ø°ÝÀÚÀÇ Àǵµ´ë·Î ±¸¼ºµÆÀ» °æ¿ì ÇØ´ç ÄÄÇ»ÅÍ ¹× °èÁ¤¸íÀÇ È¯°æ¿¡¼­´Â Crash°¡ ¹ß»ýÇßÀ» °ÍÀ¸·Î ¾È·¦ ASEC ºÐ¼®ÆÀ ÃøÀº ÃßÁ¤Çß´Ù.

¡ãÄÄÇ»Å͸í È®ÀÎ ÄÚµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


C&C Åë½Å¿¡¼­´Â C&C·ÎºÎÅÍ ¸í·ÉÀ̳ª ¼³Á¤°ª µîÀ» ¼ö½ÅÇÏ´Â ÇàÀ§´Â È®ÀεÇÁö ¾Ê´Â´Ù. Å»Ãë ´ë»óÀº ¾Ç¼ºÄÚµå ÀÚü¿¡ ÁöÁ¤µÆÀ¸¸ç À¯Æ÷ »ùÇø¶´Ù Á¶±Ý¾¿ ´Ù¸£´Ù. °¢°¢ÀÇ Á¤º¸¸¦ ¼öÁýÇÒ ¶§¸¶´Ù ZIPÆÄÀÏ·Î ¾ÐÃà, HTTP POST ¹æ½ÄÀ» »ç¿ëÇØ Àü¼ÛÇϸç Path´Â ¡®/c2sock¡¯, User-Agent´Â ¡®TeslaBrowser/5.5¡¯ÀÌ´Ù.

¡®hwid¡¯´Â °¨¿° PCÀÇ °íÀ¯ ½Äº°ÀÚÀ̸ç, ¡®pid¡¯´Â Å»Ãë Á¤º¸ Á¾·ù¿¡ µû¶ó 1~3ÀÇ ¼ýÀÚ·Î ÁöÁ¤µÈ´Ù. ¡®lid¡¯´Â Lumma ID·Î ¼³¸íµÇ¸ç, À¯Æ÷ ¾Ç¼ºÄÚµåÀÇ Ä·ÆäÀÎ ½Äº°ÀÚ·Î »ç¿ëµÉ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ÇöÀç±îÁö À¯Æ÷¿¡ »ç¿ëµÈ lid´Â ¡âiOqpIq ¡âRIIoQe–p5 ¡âRIIoQe–p10 µîÀÌ´Ù.

C&C Àü¼Û µ¥ÀÌÅÍ Áß¿¡´Â ¾Ç¼ºÄÚµåÀÇ À̸§°ú ºôµå ¹öÀüÀ¸·Î ÃßÁ¤µÇ´Â ¹®ÀÚ¿­ÀÌ Æ÷ÇԵȴÙ. Áö³­ 20ÀÏ À¯Æ÷ ÁßÀÎ »ùÇà ¶ÇÇÑ µ¿ÀÏÇÑ ºôµå ¹öÀüÀ¸·Î ÆľǵƴÙ.

¡ãC2 Àü¼Û µ¥ÀÌÅÍ ¿¹½Ã[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]


¾È·¦ ASEC ºÐ¼®ÆÀ ÃøÀº ¡°À̹ø LummaC2 ¾Ç¼ºÄÚµå´Â ½ÇÇà È帧°ú ¹®ÀÚ¿­À» ±â¹ÝÀ¸·Î Å»Ãë ´ë»ó Á¤º¸¸¦ ºÐ¼®ÇÑ °á°ú Å»Ãë ´ë»óÀº Browser µ¥ÀÌÅÍ(Chrome, Chromium, Edge µî), Browser È®Àå ÇÁ·Î±×·¥(MetaMask, MetaMask, TronLink, RoninWallet µî), ¾ÏȣȭÆó Áö°© ÇÁ·Î±×·¥(Binance, Electrum, Ethereum, Exodus µî), ½ºÅ©¸°¼¦, %UserProfile% ÇÏÀ§ 2´Ü°è ±íÀ̱îÁöÀÇ ¸ðµç txt ÆÄÀÏ, ½Ã½ºÅÛ Á¤º¸, ¼³Ä¡µÈ ÇÁ·Î±×·¥ Á¤º¸, ¸ÞÀÏ Å¬¶óÀ̾ðÆ®(Windows Mail, The Bat µî), ±âŸ ÀÀ¿ë ÇÁ·Î±×·¥(AnyDesk, FileZilla µî) µîÀ¸·Î Æľǵƴ١±¸ç ÁÖÀǸ¦ ´çºÎÇß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)