CoffeeLoader 탐지: SmokeLoader를 통해 확산되는 새로운 정교한 멀웨어 패밀리
목차:
디펜더들은 보안 보호를 회피하는 고급 회피 기술을 사용하고 Red Team 방법을 활용하여 효과를 높이는 새로운 은밀한 멀웨어인 CoffeeLoader를 관찰했습니다. 배포된 경로는 SmokeLoader 를 통해 CoffeeLoader는 탐지를 회피하면서 2차 페이로드를 구현합니다. 이를 통해 은밀한 공격이 탐지 및 방어하기 어렵습니다.
CoffeeLoader 탐지
현재 사이버 위협 환경에서 순환하는 10억 이상의 멀웨어 변종 및 매일 300개 이상의 멀웨어가 생성되는 상황에서, 새로운 위협에 대비하는 것은 그 어느 때보다 중요합니다. 그러나 공격 면적이 확장되고 침투 전술이 진화하면서 초기 침입 탐지는 여전히 복잡한 도전 과제입니다.
SOC Prime 플랫폼 은 새로운 위협에 대한 탐지 알고리즘 저장소 중 가장 큰 규모를 자랑하며, 실시간 CTI로 강화되고 위협 탐지 및 사냥을 위한 고급 도구로 지원됩니다. ” 탐지 탐색 ” 버튼을 눌러 사용할 수 있는 Sigma 규칙 세트를 통해 최신 CoffeeLoader 공격을 파악하세요.
모든 규칙은 다양한 SIEM, EDR 및 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK 프레임워크 에 매핑되어 위협 조사를 간소화합니다. 각 규칙은 또한 CTI 참조, 공격 타임라인, 분류 추천 및 기타 정보
를 포함한 광범위한 메타데이터로 보강됩니다. CoffeeLoader에 대한 최신 Zscaler 연구 결과에서 IOC를 사냥할 수 있습니다. 보안 전문가는 Uncoder AI를 사용하여 이러한 IOC를 손쉽게 구문을 파싱하고 선택한 SIEM 또는 EDR 플랫폼에 맞춘 사용자 정의 쿼리로 변환할 수 있습니다. Uncoder AI는 또한 위협 정보 탐지 엔지니어링을 위한 비에이전트 개인 AI로 작동하여 팀이 탐색, 코드 작성, 검증, 번역 및 즉시 탐지를 배포할 수 있는 고급 도구를 장착하게 합니다. Uncoder AI 기능에 대한 자세한 내용은 여기 here.
서 읽어보세요.
Zscaler ThreatLabz 연구원들은 2024년 9월경 처음 탐지된 CoffeeLoader라는 고도로 정교한 새로운 악성 변종을 발견했습니다. 이 변종은 엔드포인트 보안 조치를 우회하기 위해 고급 회피 기술을 사용하여 은밀하게 2차 페이로드를 다운로드하고 실행합니다.
CoffeeLoader는 탐지를 회피하면서 2차 페이로드를 배포하도록 설계된 고급 멀웨어 로더입니다. 대부분의 범죄 소프트웨어와 마찬가지로 CoffeeLoader 샘플은 패킹되어 있습니다. ThreatLabz는 일반적으로 언패킹 세부 사항을 건너뛰지만, CoffeeLoader는 가상 환경에서의 분석을 방해하는 독특한 GPU 기반 패커를 사용하여 주목받습니다. Armoury라고 추적되는 이 패커는 ASUS의 정품 Armoury Crate 유틸리티를 모방합니다.
언패킹 후 CoffeeLoader는 드롭퍼를 실행하여 멀웨어를 설치합니다. 연구자들은 여러 드랍퍼 변종을 확인했으며, 각기 다른 기능을 가지고 있습니다. 한 버전은 ArmouryAIOSDK.dll이라는 이름으로 임시 디렉토리에 패킹된 CoffeeLoader DLL을 복사합니다. 관리자 권한으로 실행되면, rundll32.exe를 통해 DLL을 실행합니다. 권한이 상승되지 않았을 경우, CMSTPLUA COM 인터페이스를 사용하여 UAC를 우회하려 시도합니다. 이 변종은 지속성을 설정하지 않으며 사용자 정의 해시 알고리즘을 사용하여 API 기능을 해결합니다.
일부 CoffeeLoader 샘플은 Windows 작업 스케줄러를 통해 지속성을 설정합니다. 이전 버전은 schtasks.exe를 사용하고, 새로운 버전은 ITaskScheduler COM 인터페이스를 활용합니다. 드롭퍼는 파일 속성을 읽기 전용, 숨김 및 시스템으로 설정한 후 SetEntriesInAclW를 사용하여 패킹된 CoffeeLoader DLL에 대한 사용자 액세스를 제한합니다.
CoffeeLoader의 드롭퍼는 하드 코딩된 이름의 예약 작업을 통해 지속성을 유지합니다. 관리자 권한으로 실행될 경우, 사용자가 로그인할 때 가장 높은 실행 수준으로 실행되며, 그렇지 않으면 최신 버전에서 10분마다 또는 30분 마다 실행됩니다.
설치 후, 드롭퍼는 CoffeeLoader의 스테이저를 실행하고 종료합니다. 주요 CoffeeLoader 모듈은 DJB2 해시 알고리즘을 통해 API 주소를 해결하며, 여러 회피 전술을 사용하여 EDR 모니터링을 우회합니다. 여기에는 콜 스택 스푸핑(BokuLoader에 영감을 받은), 슬립 난독화, Windows 파이버가 포함됩니다.
C2 통신을 위해 CoffeeLoader는 하드코딩된 서버를 사용하여 HTTPS를 사용합니다. 주요 C2 채널이 실패할 경우, 도메인 생성 알고리즘을 사용하며 보안을 위해 인증서 고정을 사용합니다.
로 SmokeLoader 와 유사한 동작을 보이는 두 멀웨어 패밀리에 의해 확산되고 있습니다. 연구자들은 CoffeeLoader와 자주 우크라이나를 상대로 한 피싱 캠페인에 사용되는 UAC-0006 활동과 관련된 SmokeLoader 사이의 차별적 유사점을 공개했습니다. 이러한 공유 기능에는 스테이저를 사용하여 다른 프로세스에 메인 모듈을 주입하고, 시스템 식별자를 기반으로 봇 ID를 생성하고, 봇 ID에 연결된 뮤텍스를 생성하는 것이 포함됩니다. 두 멀웨어는 해시를 통해 가져오기를 해결하며, 내부 변수 및 API 함수 포인터의 글로벌 구조에 의존하고, 하드코딩된 RC4 키를 사용하여 네트워크 트래픽을 암호화합니다. 추가로, 두 멀웨어 패밀리는 저수준 Windows API를 강하게 사용하고, 파일 속성을 시스템 및 숨김으로 설정하며, 예약된 작업을 통해 지속성을 유지합니다.
특히, 2024년 말에 CoffeeLoader와 많은 – 그러나 모든 것은 아닌 – 광고된 EDR 및 AV 회피 기능을 공유하는 새로운 SmokeLoader 버전이 발표된 것으로 보고되었습니다. 그러나 CoffeeLoader가 그 계승자인지 혹은 유사점이 우연인지 여부는 불확실하게 남아 있습니다.
CoffeeLoader는 AV, EDR, 샌드박스를 우회하기 위한 고급 기능을 통해 사이버 위협 환경에서 두드러지며, 공격 능력을 강화하기 위해 혁신적인 Red Team 기술을 활용합니다. 전진적인 조직은 잠재적인 침입에 대한 방어력을 강화할 새로운 방법을 모색하고 있습니다. SOC Prime 플랫폼 AI, 실행 가능한 위협 정보 및 집단적 산업 전문 지식으로 지원되는 최첨단 준비된 솔루션으로 보안 팀에게 지속적으로 진화하는 위협을 초월하고 공격 표면을 줄이는 데 도움이 됩니다.