오피스 설치 프로그램으로 위장하여 유포 중인 BitRAT 악성코드

ASEC 분석팀에서는 이전 BitRAT 악성코드가 윈도우 OS 정품 인증 도구를 위장하여 유포중인 상황을 블로그에 아래글로 게시 하였다. 최근 해당 BitRAT 악성코드는 유포 파일을 변경하여 오피스 설치 프로그램을 통해 피해자들을 유인 하고 있다.

다음은 웹하드에서 업로드된 악성코드가 포함된 게시글이며 “[최신][저렴]오피스 2021 설치 + 영구 정품 인증” 이라는 제목이다.

[그림 1] 윈도우 정품 인증 툴을 위장한 게시글 – 1
[그림 2] 윈도우 정품 인증 툴을 위장한 게시글 – 2

다운로드된 파일은 [그림 3] [그림 4] 와 같이, 이전 블로그와 동일하게 “Program.zip”이라는 압축 파일이며, 게시글의 설명대로 비밀번호 “1234”로 암호 압축되어 있다. 압축 파일 내부에는 ”OInstall.exe”라고 하는 오피스 설치 프로그램이 포함되어 있다.

[그림 3] 다운로드된 압축 파일

[그림 4] 압축 파일 내부에 포함된 파일들

피해자에게 노출되는 화면은 [그림 5] 와 같이 오피스 다운로드 프로그램이지만, 실제 다운로더 악성코드는 [그림 6] 과 같이 윈도우 시작 프로그램 폴더에 악성코드를 설치된다. 일반적으로 처음 설치되는 것은 동일한 유형의 다운로더 악성코드이며, 이렇게 실행된 다운로더는 최종적으로 BitRAT 악성코드를 %TEMP% 경로에 “Software_Reporter_Tool.exe”라는 이름으로 설치한다.

[그림 5] 피해자에게 노출되는 오피스 다운로드 프로그램
[그림 6] 피해자 모르게 다운로드 되는 실제 악성코드(BitRAT 다운로더)

다음은 BitRAT 악성코드의 기능이다.

1. 네트워크 통신 방식
– TLS 1.2를 이용한 암호화된 통신
– Tor를 이용한 통신

2. 기본 제어
– 프로세스 관리자
– 서비스 관리자
– 파일 관리자
– 윈도우 관리자
– 소프트웨어 관리자

3. 정보 탈취
– 키로깅
– 클립보드 로깅
– 웹캠 로깅
– 오디오 로깅
– 웹 브라우저과 같은 애플리케이션 계정 정보 탈취

4. 원격 제어
– 원격 데스크탑
– hVNC (Hidden Desktop)

5. 프록시
– SOCKS5 Proxy : UPnP를 이용한 포트 포워딩 기능 제공
– Reverse Proxy : SOCKS4 Proxy

6. 코인 마이닝
– XMRig 코인 마이너

7. 기타
– DDoS 공격
– UAC Bypass
– 윈도우 디펜더 비활성화

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– Downloader/Win.BitRAT.C5018635 (2022.03.22.03)
– Downloader/Win.BitRAT.R479001 (2022.03.22.03)
– Backdoor/Win.BitRAT.C5023733 (2022.03.22.03)

[행위 진단]
– Malware/MDP.Download.M1197

[IOC]
다운로더 악성코드 MD5
8efb366f0adeeb32e66ea03eff4f50f8
56fbf1d1f2737a2d3c05b2dbc7bb0ca6
72869b470b5fe354db412283b4172a47
08634ba1bdf3d4594887a9a7a44c7ab1

BitRAT MD5
d632849a9033f24257439988533d31f2

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments