비슷한 기법이 이전에 NCC 그룹 에서 보고된 바 있습니다.

2022년 11월, LAC는 이전 섹션에서 설명한 2023~2024년의 활동과 거의 동일한 감염 체인에서 필리핀의 정부 조직을 표적으로 삼은 것으로 보이는 Claimloader 변형에 대해 보고했습니다. 이 변형은 페이로드를 32바이트의 암호화된 스택 문자열 블록으로 저장한 후 각각을 복호화합니다. 또한 레지스트리 또는 예약된 작업을 통해 지속성을 설정하기 전에 합법적인 실행 파일과 Claimloader DLL을 새 디렉토리에 복사하여 효과적으로 로더이자 설치 프로그램으로 만듭니다.

실행 시 멀웨어는 하드코딩된 뮤텍스를 생성하여 Claimloader의 단일 인스턴스만 실행되도록 하는 것으로 시작합니다. 그런 다음 첫 번째 실행에 없는 특정 명령줄 인수가 있는지 확인합니다. 이 경우 Claimloader는 다음과 같은 소프트웨어 디렉토리를 모방하여 EXE와 DLL을 눈에 띄지 않는 새로운 디렉토리(종종 "C:\ProgramData\")에 복사합니다.

C:\ProgramData\NVIDIACorporatione\

C:\ProgramData\NVIDIACorporation\

C:\ProgramData\jxbrowserEdgeBLA\

C:\ProgramData\jxbrowserEdgeIDWT\

C:\ProgramData\JxbrowserChromium\

C:\ProgramData\FastPerfPDF\

C:\ProgramData\NVIDIAFrameViewSDK\

이 동작은 대부분의 최신 Claimloader 샘플에서 사용되며 샌드박스 실행이 실패할 수도 있습니다.

다음으로, 멀웨어는 올바른 명령줄 인수가 포함된 EXE 경로를 새 레지스트리 키에 눈에 잘 띄지 않는 소프트웨어 이름으로 다시 저장하여 로그인 시 지속성을 설정합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run