* 출처는 안랩입니다.

루마C2(LummaC2)는 정보탈취형 악성코드로, SEO-Poisoning 기법을 사용한 유포 사이트와 유튜브(YouTube), 링크드인(LinkedIn)에서 크랙, 키젠(Keygen), 게임 핵과 같은 불법 프로그램으로 위장했다.  또한, 최근에는 노션(Notion), 슬랙(Slack), 캡컷(CapCut) 등의 홈페이지로 위장해 검색 엔진의 광고에 노출되는 기법으로 유포되기도 했다. 

루마C2의 유포 과정을 자세히 알아보자.

루마C2는 실행 방식에도 꾸준히 변형이 발생하고 있다. 현재는 단일 EXE 형태의 파일로 유포되거나 DLL 사이드로딩(Sideloading) 기법을 사용해 악성 DLL과 이를 실행하는 정상 EXE를 함께 압축한 형태로 유포 중이다.

[그림 1] 단일 EXE 형태 유포(좌), DLL 형태 유포(우)

Ÿ   참고 링크: 정상 EXE 파일 실행 시 감염되는 정보탈취 악성코드 주의

이와 같이 변형을 거듭하고 있는 루마C2의 최근 변형에서 게임 플랫폼 ‘스팀(Steam)’을 C2 도메인 획득 목적으로 악용하고 있는 것을 확인했다. 기존에는 모든 C2 정보가 악성코드 샘플 내부에 존재했으나, 현재는 공격자가 정상 사이트를 악용하며 공격자가 선호하는 시점에 원하는 도메인으로 C2를 변경할 수 있게 됐다.

이 방식은 기존 비다르(Vidar) 악성코드가 사용했던 것으로, 비다르는 스팀을 비롯한 틱톡, 마스토돈(Mastodon), 텔레그램(Telegram) 등 여러 정상 플랫폼을 악용해 C2 정보를 획득하는 방식을 사용한 이력이 있다.

·         참고 링크: 다양한 플랫폼을 악용하는 Vidar Stealer

[그림 2] 루마C2를 악용한 스팀 페이지(좌), 비다르를 악용한 스팀 페이지(우)

사용자 수가 많은 정상 도메인이므로 의심을 줄일 수 있으며, 보유한 C2가 무력화될 경우 다른 C2로 쉽게 변경이 가능해지므로 공격 성공률을 높일 수 있을 것이다.

루마C2 악성코드는 실행 시 내부 암호화된 문자열을 복호화해 C2 도메인 정보를 얻는다. 베이스64(Base64)와 자체 알고리즘으로 암호화돼 있으며, 샘플당 8~10개 정도의 C2 도메인을 갖는다.

[그림 3] 암호화된 C2 도메인

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35645