스팸 메일로 유포 중인 Remcos RAT 악성코드

Remcos는 RAT(Remote Administration Tool) 악성코드로서 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. Remcos는 제작자가 아래와 같은 웹 사이트를 통해 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며 최신까지도 주기적으로 업데이트 되고 있다.

[그림 1 – Remcos 홈페이지

Remcos 홈페이지에서 설명하는 기능들만 본다면 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 적혀져 있다. 물론 이러한 기능들이 지원되는 것은 사실이다.

하지만 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능과 같은 악의적으로 사용 가능한 다양한 기능들을 지원한다. 또한 인젝션이라던지 사용자가 눈치채지 못하게 백그라운드에서 정상 프로그램으로 위장하여 실행 가능하게 해주는 옵션들도 존재한다. 이외에도 일반적인 RAT 류의 악성코드와 같이 다양한 감염 봇들을 제어하기위한 UI도 유사하다.

그림 2 – Remcos v2.6.0 Light 버전

즉 Remcos의 제작자는 정상적인 기능들을 홍보하며 악의적인 사용을 금지한다고는 하지만, 실제 지원되는 기능들은 악의적인 목적이 아니라면 사용되기 힘든 악성코드에서나 지원되는 기능들을 다수 포함하고 있다. 나아가 Remcos는 이미 공격자들에 의해 실제 악성코드로서도 꾸준히 사용되고 있다.



유포 방식

현재 확인되는 Remcos RAT은 대부분 아래와 같은 형태의 스팸 메일을 통해 유포되고 있다.

그림 3 – amazon 배송 메일을 위장한 스팸 메일
그림 4 – 견적, 구매 메일을 위장한 스팸 메일

첫번째 메일은 직접적인 첨부 파일 형태로서 Amazon Detail.img 파일을 압축 해제하면 exe 형태의 Remcos RAT이 확인된다. 두번째 메일은 악성 매크로가 포함된 엑셀 파일이 첨부되어 있다. 이 엑셀 파일을 실행하고 매크로를 활성화하면 외부에서 Remcos RAT을 다운로드 받아 실행하는 방식이다.

그림 5 – 매크로 활성화를 유도하는 악성 매크로 파일

위에서 다룬 스팸 메일은 영어로 되어있어 직접적인 국내 타겟인지 확인하기 어렵지만, 다음과 같이 접수된 파일명으로 봤을 때 한글 이름을 갖는 파일들이 존재하는 것으로 보아 국내 사용자들도 타겟인 것을 확인할 수 있다.

\발주서(lkp-2010-024)\po.exe
\발주서(lkp-2020-027)(lkp-2020-027).exe
\요청자료목록(lkp-2020-027).exe
견적서 – ACE international 2.exe
첨부문서.exe
20co08301 – 첨부문서.exe
Advanced Pacific Trading – purchase order list.exe
DHL-Shipping_Documents0010201.exe
KONTEC QUOTE B1018530.exe
Payment.exe
PDF_Tosoh-Inquiry.exe
PI20200206APO#4567811,zip.exe
PO 456123489.exe
Quotation 52908.exe
SHIPPING-DOCUMENTS-DOC0012HD83-001HDU37.exe
Ton-Keep Co- Purchase Order.exe

참고로 이러한 이름들은 AgentTesla, Formbook, AveMaria 등 스팸 메일로 유포되는 다른 악성코드들과 유사하다. 또한 최신 접수되는 유형들이 대부분 진단을 우회하기 위한 목적으로 닷넷 외형의 패커로 패킹되어 유포되고 있다는 점도 동일하다.



유포 파일 버전

Remcos RAT 제작자는 꾸준히 기능을 업데이트하고 있으며 현재 릴리즈된 최신 버전은 2020년 10월 22일 공개된 v2.7.2이다. 다음은 버전 별 릴리즈 날짜이다.

v2.5.0 – 2019.09.20
v2.5.1 – 2020.06.05
v2.6.0 – 2020.07.10
v2.7.0 – 2020.08.10
v2.7.1 – 2020.09.14
v2.7.2 – 2020.10.22

Remcos RAT은 다른 악성코드들과 마찬가지로 진단을 우회하기 위해 패킹되어 유포되는데, 내부에 존재하는 실제 바이너리를 추출하면 원본 Remcos RAT을 확인할 수 있다. 이렇게 추출된 원본 바이너리에는 버전 정보가 하드코딩되어 있으므로 어떠한 버전의 빌더를 이용해 생성되었는지도 확인할 수 있다.

ASEC 분석팀에서는 올해 하반기에 접수된 Remcos RAT 악성코드들에 대해 버전 정보를 추출하였으며, 그 통계는 다음과 같다.

7월8월9월10월11월
v1.7 Pro10.0%15.8%8.3%15.4%
v2.4.2 Pro5.3%
v2.5.0 Pro46.7%15.8%8.3%
v2.5.1 Pro36.7%10.5%
v2.6.0 Pro6.7%31.6%16.7%8.7%
v2.7.0 Pro21.1%50.0%17.4%7.7%
v2.7.1 Pro16.7%65.2%7.7%
v2.7.2 Pro8.7%69.2%
합계100%100%100%100%100%
표 1 – 수집된 Remcos 악성코드 버전 변화

접수된 Remcos의 버전을 보면 릴리즈에 맞춰 버전 정보가 올라가는 것을 볼 수 있다. 이를 통해 공격자 또는 공격자들은 Remcos RAT 공식 버전을 이용해 빌드하며 업데이트마다 최신 버전을 유지하는 경향이 있는 것으로 추정된다.

참고로 Remcos는 Light 버전도 존재하지만 모두 Pro 버전인 이유는 Light 버전에서는 악의적으로 사용 가능한 기능들이 모두 비활성화되어 있으며 사용자의 눈에 띄지 않고 백그라운드로 실행시키는 것도 불가능하기 때문이다.

또한 1.7 Pro 버전이 꾸준히 일정 비율을 차지하고 있는데, 이는 해당 버전의 Remcos RAT에 대한 Crack 버전이 공개되어 있기 때문이다. 즉 최신 버전을 사용하는 공격자들도 존재하지만 과거 공개된 Crack 버전을 공격에 이용하는 공격자들 또한 존재하는 것을 확인할 수 있다. 1.7 버전은 2017년 1월 5일 릴리즈된 과거 버전이라고 할 수 있지만 이미 다양한 악성 기능을 가지고 있는 Pro 버전이기 때문에 최신 버전만큼은 아니라고 하더라도 다양한 악성 기능을 수행할 수 있다.

[그림 6] v1.7 및 v2.7.2 버전의 아이콘 비교

Remcos RAT 악성코드는 스팸 메일을 통해 유포되고 있으며, 이에 따라 사용자들은 의심스러운 메일을 받게 된다면 첨부 파일의 실행을 지양해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

[파일 진단]
Trojan/Win32.Remcos.C4227198 (2020.11.18.05)
Malware/Win32.RL_Generic.C4222056
Trojan/Win32.Inject.R355833

[행위 진단]
Malware/MDP.Behavior.M3108

[IOC]
– Amazon Detail.img에 포함된 Remcos MD5 : dd03120a4bde595c81ab1e2310807ec8
– Remcos C&C : u875414.nvpn[.]to:2404, u875414.nsupdate[.]info:2404

– 견적 문의 스팸 메일에 포함된 엑셀 MD5 : 303dca398f49ea51434b4be7c84b854f
– Remcos 다운로드 주소 : hxxp://192.210.214[.]146/major.exe

5 4 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
trackback

[…] https://mp.weixin.qq.com/s/qt1LiKD2hsiJooWtzFB1WA Remcos RAT 恶意软件追溯 https://asec.ahnlab.com/ko/16269/ Stantinko家族新变种,该变种现在针对Linux服务器 […]