디스코드를 이용해 불법 음란물과 함께 유포되는 악성코드

ASEC 분석팀에서는 최근 디스코드 메신저를 통해 RAT (Remote Administration Tool) 악성코드들이 유포 중인 것을 확인하였다. 현재 해당 악성코드들을 다운로드하는 다운로더 악성코드가 “야동 링크.exe”라는 이름으로 유포 중이며 이 악성코드가 실행될 경우 외부에서 RAT 악성코드들을 다운로드하고 설치한다.

디스코드(Discord)는 채팅 및 음성, 화상 통화를 지원하는 인스턴트 메신저 프로그램으로 국내에서도 자주 사용되는 대표적인 인스턴트 메신저 중 하나이다. 음성 채팅과 같은 기능을 지원해 주기 때문에 주로 게임을 플레이할 때 많이 사용되는 것으로 알려져 있으며, 이외에도 친목과 같은 다양한 목적으로 많은 사용자들이 존재한다.

문제는 비공개적인 인스턴트 메신저의 특성 상 불법적인 목적으로 사용될 수 있으며 다음과 같이 불법적인 음란물들을 공유하는데 사용될 수 있다. “야동 링크.exe”라는 이름을 갖는 악성코드를 유포하는 디스코드 채팅방은 아래와 같다.

[그림 1] 악성코드 및 불법 성인물 유포에 사용되는 디스코드 채팅방

불법 영상 및 악성코드 유포자는 다음과 같은 글을 통해 “야동 링크.exe”라는 이름의 툴을 다운로드 받고 실행하도록 유도한다. 또한 백신에 의해 진단되는 것을 회피하기 위한 목적으로 백신 제거 또는 실시간 검사를 해제하도록 유도한다.

[그림 2] 야동 링크.exe 파일 다운로드를 유도하는 글

위의 링크를 클릭하면 link.zip 이라는 압축 파일이 다운로드 받아지며 압축을 풀면 “야동 링크.exe”라는 이름의 다운로더 악성코드가 존재한다. 이 프로그램을 실행하면 다음과 같은 GUI를 확인할 수 있다.

[그림 3] 야동 링크.exe 프로그램의 GUI

각각의 버튼을 클릭하면 다음과 같이 mega.nz 공유 사이트를 이용해 불법 성적 촬영물을 유포하고 있는 것을 확인할 수 있다.

[그림 4] 성인물 유포에 사용되는 mega.nz 사이트

참고로 각각의 버튼마다 mega.nz를 이용한 수많은 불법 음란물들이 저장되어 있기 때문에 30여 개의 버튼을 가지고 있다는 것은 이러한 공유 사이트가 최소 그 정도 개수가 된다는 것을 의미한다. 몇몇 링크는 현재 접속이 불가능하지만 그럼에도 불구하고 대부분의 링크가 현재 접속 가능하며 하나의 사이트에 수많은 용량의 불법 동영상들이 포함되어 있기 때문에 그 양을 가늠하기 힘들 정도이다.

[그림 5] 수 많은 불법 성인물 공유 페이지

또한 이 “야동 링크.exe” 프로그램이 단지 불법 영상 유포에만 사용되는 것이 아니라 악성코드 유포에도 사용된다는 것이 특징이다. 즉 “야동 링크.exe”는 실행 시 위와 같은 GUI를 보여주기 이전에, 다음과 같은 주소에서 2개의 악성코드들을 다운로드 받는다.

[그림 6] 추가 악성코드 다운로드

처음 접속하는 vs.txt에는 버전 정보가 들어가 있으며 이는 공격자가 버전 관리를 위한 목적으로 최신 버전에서 추가된 것이다. 해당 웹 페이지에 접속해 보면 다음과 같이 악성코드들이 업로드되어 있는 것을 확인할 수 있다.

[그림 7] 악성코드 유포에 사용되는 사이트

다음은 현재까지 확인된 “야동 링크.exe” 파일 관련 정보들이다.

a. 야동 링크.exe
– md5
d7e9544a8c8df86f738e4898025bf207
– 추가 악성코드 다운로드 url
http[:]//websh.p-e[.]kr/reg.exe

b. 야동 링크.exe
– md5
40621e3e9b68469697262e5766e596d9
– 추가 악성코드 다운로드 url
http[:]//websh.p-e[.]kr/Server.exe
http[:]//websh.p-e[.]kr/reg.exe

c. 야동 링크.exe v0.0
– md5
521dd96ef9565777c5c388b00146c3eb
– 추가 악성코드 다운로드 url
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/reg.exe

d. 야동 링크.exe v0.1
– md5
2116181929f8eaf1e28990e6ba56bf11
– 추가 악성코드 다운로드 url
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/reg.exe

추가 다운로드되는 악성코드는 njRAT과 AsyncRAT이다. 모두 RAT 악성코드로서 C&C 서버로부터 공격자의 명령을 받아 악성 행위를 수행할 수 있다. njRAT은 다음과 같이 국내에서는 주로 웹하드 및 토렌트를 통해 유포되고 있다.

AsyncRAT은 닷넷으로 개발된 오픈 소스 RAT 툴로서 njRAT이나 다른 RAT 류의 악성코드들처럼 키로깅 및 스크린샷 로깅, 계정 정보 추출 등의 악성 행위를 수행할 수 있다.

[그림 8] AsyncRAT 오픈 소스 페이지

악성코드들은 C:\Program Files (x86)\Windows File\ 경로에 다운로드된 후 reg.exe, Update.exe, Server.exe와 같은 이름으로 실행된다. 또한 AsyncRAT은 정상 프로세스인 InstallUtil.exe에 인젝션하기 때문에 프로세스 이름을 검사하는 것 만으로는 부족하다.

공격자는 주기적으로 다운로더 및 추가 다운로드 악성코드들을 변경하고 있으며 이는 진단을 회피하기 위한 목적이다. 그리고 이를 위해 버전을 검사하는 루틴을 추가하여 최신 버전만 실행되도록 하였으며, 최근 확인되고 있는 AsyncRAT과 njRAT은 더미다를 이용해 패킹하여 진단 및 분석을 우회하고 있다.

이와같이 디스코드를 악용한 악성코드가 활발하게 유포되고 있어 주의가 필요하다. 사용자들은 이러한 불법 동영상들에 대한 공유와 같은 행위가 불법이라는 것을 숙지하여야 하며, 알려지지 않은 출처에서 파일을 다운로드하는 행위를 자제해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

현재 안랩 V3 제품에서는 해당 악성코드를 다음과 같은 진단명으로 탐지 및 차단하고 있다.

[파일 진단]
Trojan/Win32.MSILKrypt.C4265600 (2020.12.18.04)
Trojan/Win32.MSILKrypt.C4266357 (2020.12.19.09)
Trojan/Win32.MSILKrypt.C4266361 (2020.12.19.09)
Trojan/Win32.AsyncRAT.C4265591 (2020.12.18.04)
Trojan/Win32.AsyncRAT.C4265605 (2020.12.18.04)
Trojan/Win32.AsyncRAT.C4265840 (2020.12.18.07)
Trojan/Win32.Korat.R207428 (2017.08.25.03)
Malware/Win32.RL_Generic.C4265239 (2020.12.18.01)
Backdoor/Win32.LimeRAT.C4266728 (2020.12.20.08)
Backdoor/Win32.LimeRat.R359305 (2020.12.21.05)

[행위 진단]
Malware/MDP.Inject.M3034
Malware/MDP.Behavior.M3108

[IoC]
– 다운로드 URL
http[:]//websh.p-e[.]kr/Update.exe
http[:]//websh.p-e[.]kr/Server.exe
http[:]//websh.p-e[.]kr/reg.exe

– MD5
다운로더 악성코드
2116181929f8eaf1e28990e6ba56bf11
521dd96ef9565777c5c388b00146c3eb
40621e3e9b68469697262e5766e596d9
d7e9544a8c8df86f738e4898025bf207
AsyncRAT
ec48a1a19969f1703022212e5e681bab
bc282ef8aecb7b9fb8ebf2703d11e4ee
076ac88a3316f668b5de5d76a279f835
a61de9af8dae6d601067dec8ae5783fb
6116558014180951c10428c2491e97dc
77393e0212e2090a5ab04a290c79a913
njRAT
808e1ade2dea30a742f120a5a26d6a32
6bc71222c8004fe42572c948e90629cf
144de52e7ecc73be34d350401ef814ed
47f99fb35cb7bd2e54e35695d9f5db4e

– C&C 주소
AsyncRAT
daue.kro[.]kr:1324
njRAT
gore.p-e[.]kr:5555
gore.r-e[.]kr:5552

5 3 votes
별점 주기
guest
1 댓글
Inline Feedbacks
View all comments
c heng
c heng
2 months ago

업무에서 더미다 직접 언패킹 하나요?(VM코드 분석해서 그대로 따로 구현후 가상화 코드의 주소에서 코드 읽고 해석후 가상메모리 할당후 Writing하는 스크립트 작성해서 분석)아니면 pin tool처럼 DBI로 분석하나요?

Last edited 2 months ago by c heng