공격자 베놈 RAT·판도라 hVNC 등 다양한 악성코드 사용
[보안뉴스 박은주 기자] 불법 도박 관련 파일로 위장한 RAT 악성코드가 유포되고 있다. 바로가기(Lik) 파일을 통해 퍼지고 있는데, 지난 1월 카카오 인증서로 위장해 악성코드를 유포한 베놈(Venom) RAT 악성코드 유포 방식과 동일하다.
[이미지=ASEC]
RAT 악성코드는 바로가기 파일을 통해 HTML 응용 코드인 HTA에서 다운로드 된다. 해당 바로가기 파일에는 악성 파워쉘 명령어가 포함돼 있고, MSHTA를 실행해 악성 스크립트를 내려받는다.
▲악성코드 동작과정[자료=ASEC]
안랩 시큐리티 인텔리전스 센터(ASEC)의 분석에 따르면 바로가기 파일에 포함된 악성 URL은 다음과 같다.
-hxxp://193.***.***[.]253:7287/2.hta.hta
-hxxp://193.***.***[.]253:7287/.hta
-hxxp://85.209.176[.]158:7287/6.hta
▲불법 도박 베팅과 관련한 방법이 저장된 percent.xlsm 파일[이미지=ASEC]
이중 첫 번째 URL에는 VBS 코드가 존재한다. VBS 코드 내부에는 정상 문서 파일과 RAT 악성코드를 내려받는 파워쉘 명령어가 난독화돼 있다. 파워쉘 명령어는 실행 시 특정 주소에서 엑셀 문서를 내려받는다. 문서는 ‘%APPDATA%’ 폴더에 percent.xlsm 파일(이하 엑셀 파일)로 저장된다. 엑셀 파일은 불법 도박 베팅과 관련한 방법이 저장돼 있다. 관련 사용자를 대상으로 유포되는 것으로 예상된다.
▲악성 URL에서 확인된 추가 파일 목록[이미지=ASEC]
이후 추가 실행 파일을 내려받아 ‘%APPDATA%’ 폴더에 darkss.exe로 저장된다. 저장된 실행 파일은 베놈 RAT 악성코드로 키로깅 및 사용자 정보를 유출할 뿐만 아니라, 공격자로부터 명령을 받아 다양한 악성 행위를 수행할 수 있다.
또한 공격자는 다양한 종류의 RAT 악성코드를 사용하고 있다. 악성 파일 외에 다양한 HTA 스크립트와 디코이 문서 파일, 악성 실행 파일이 포함돼 있다. 추가로 확인된 디코이 문서 역시 불법 도박 사이트 관련 정보를 포함하고 있으며, 심지어 일부 사용자의 개인정보가 담겨 있다. 이중 악성 실행 파일인 ‘Darksoft111.exe’와 ‘Pandora_cryptered.exe’는 각각 베놈 RAT과 판도라(Pandora) hVNC 악성코드로 확인됐다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>