ASEC 분석팀에서는 국내 악성코드들의 유포지를 모니터링하고 있으며, 최근에는 UDP Rat 악성코드와 이를 유포하는데 사용되는 웹하드 게시글을 소개한 바 있다. 공격자로 추정되는 업로더는 아래의 블로그가 공개된 이후에도 또 다른 웹하드를 이용해 유사한 악성코드들을 성인 게임으로 위장하여 유포하고 있으며 현재도 다운로드가 가능한 상황이다.
위의 게시글을 보면 zip 압축 파일을 이용한 이전 블로그 사례와 달리 egg 압축 파일을 업로드한 것으로 보이지만 실제 압축 파일은 zip 파일 포맷이다. 그리고 게시글의 아래를 보면 압축을 풀고 Game.exe를 실행시키라는 가이드도 함께 전달하고 있다.
해당 업로더는 이렇게 동일한 방식으로 악성코드를 포함한 다수의 게시글을 업로드하였다. 업로드한 게시글들의 첨부 파일은 모두 egg 확장자로 위장한 zip 압축 파일이며, 게시글 아래 항목에는 Game.exe를 실행시키라는 가이드가 함께 존재한다.
압축을 해제할 경우 Game.exe는 존재하지 않으며 대신 악성코드인 “Game..exe”가 존재한다. 아래의 압축 파일에서 악성코드는 런쳐 악성코드인 Game..exe, 다운로더를 정상 프로세스에 인젝션하는 wode.dat, 이를 실행시키는 또 다른 런쳐를 드랍 및 실행하는 std.dat이다.
사용자가 Game..exe를 실행시킬 경우 수행되는 악성코드의 감염 흐름은 아래와 같다. 즉 아래의 과정을 통해 최종적으로 정상 프로세스인 comsvcconfig.exe 내에 인젝션된 악성코드가 다운로더로 동작한다. 참고로 이전 블로그와의 차이점은 여기에서는 압축 파일에 포함되어 있는 인젝터 즉 Chrome.exe 악성코드를 디스코드를 통해 다운로드 받았다는 점이다.
악성코드는 동시에 압축 파일 내부에 index.dat 이름으로 저장되어 있던 원본 게임 실행 파일을 Game.exe라는 이름으로 변경한 후 실행시킴에 따라 사용자는 정상적으로 게임이 동작하는 것으로 인지하게 된다. 실질적으로 악성 행위를 수행하는 악성코드는 Program Files 경로 안에 Chrome이라는 폴더에 생성된 인젝터 악성코드 Chrome.exe이다.
comsvcconfig.exe에 인젝션되어 실행되는 악성코드는 이전 블로그와 동일하게 다운로더 악성코드이며 C&C 주소도 이전과 유사하다. 그리고 추가 악성코드를 다운로드 받아 설치하는 경로도 동일한 것을 확인할 수 있다.
– C&C 주소 : hxxp://ondisk.kibot[.]pw:8080/links/UserTree
이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.
[파일 진단]
Trojan/Win.Launcher.C4677140 (2021.10.05.03)
Dropper/Win.Korat.C4677223 (2021.10.05.03)
Downloader/Win.Korat.R443432 (2021.10.01.00)
Trojan/Win.Launcher.C4683332 (2021.10.09.00)
[IOC]
파일
– Game..exe : 46c88574f4eb9ec382a2eb2f4ea9ea98
– std.dat : ab54586691e787b3f51ddb464feeac07
– wode.dat : 733ec7e0aad7dab5a377b836ccba02f6
– Proxy.exe : c57ce2e7d2e46a697da7ce030406a601
C&C 서버
– 다운로더 악성코드 C&C : hxxp://ondisk.kibot[.]pw:8080/links/UserTwo
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보