ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다.
위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다.
AveMaria 악성코드는 원격제어 기능의 RAT(Remote Administration Tool) 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 AveMaria 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 AgentTesla, Lokibot, Formbook 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 유포되는 특징을 갖는다.
AveMaria 악성코드의 원래 이름은 WARZONE RAT 이지만, 동작과정에서 C2 서버와의 프록시 연결 시 인증 목적으로 “AVE_MARIA” 라는 문자열을 보낸다. 따라서 이 문자열 때문에 AveMaria 라고도 지칭된다.
Avemaria 악성코드의 기능과 바이너리의 분석정보는 AhnLab TIP Portal의 상세분석보고서 및 ASEC블로그를 통해 공개된 바 있다.
악성코드가 동작하는 과정에서 윈도우 시스템 평가 도구인 winSAT.exe 와 winmm.dll 파일을 이용한 UAC 권한상승 목적의 커맨드도 확인되었는데, 이는 아래의 블로그에서 간략히 소개한 바 있다.
악성코드가 실행되면 timeout.exe 를 통해 의도적인 시간지연을 수행하며, 이후 윈도우 정상 프로세스인 RegAsm.exe 에 악성 바이너리를 인젝션하여 추가 악성행위를 수행한다. 내부에 존재하는 악성 바이너리는 그림 4) 에서 확인할 수 있다.
AveMaria 악성코드 외에도 AgentTesla 악성코드의 유포가 확인되었다. AgentTesla는 웹브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이며, 매주 제공되는 ASEC 주간 악성코드 통계에서 항상 순위권에 존재할만큼 유포현황이 매우 활발함을 알 수 있다.
자사 인프라를 통해 V3 Lite 아이콘을 이용하여 유포되는 연관 악성파일들을 확인해보니 활발하게 유포되는 현황을 파악할 수 있었다. 이러한 악성파일들은 대부분 피싱메일의 첨부파일을 통해 유입되는 경우가 많다.
사용자들은 기본적으로는 출처가 불분명한 메일의 첨부파일 열람은 자제해야하며, 사용하고 있는 안티바이러스 제품을 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.
안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.
[파일 진단]
Trojan/Win.MSILKrypt.R495355
Trojan/Win.MSILKrypt.R498085
Trojan/Win.MSIL.C5152589
Trojan/Win.MSIL.R500015
Trojan/Win.MSIL.C515258
Trojan/Win.AveMaria.R498632
Trojan/Win.Tnega.C5059801
Downloader/Win.MSIL.R498629
[메모리진단]
Trojan/Win.AgentTesla.XM95
[행위진단]
Persistence/MDP.AutoRun.M224
[IOC]
c5cb27cb09bdc222aeffaf0cccb96bad
ccb55c0200203e7fb4748d28c30ba2f9
45.162.228[.]171:26112
3280690e018ceb2112ee695933f65742
hxxp://ppz.devel.gns.com[.]br/temps/donexx.exe
hxxp://filetransfer[.]io/data-package/XRWqXdNN/download
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보