V3 Lite 아이콘을 위장하여 유포되는 악성코드

ASEC 분석팀은 V3 Lite 아이콘을 위장한 악성코드가 닷넷(.NET) 외형의 패커로 패킹되어 유포되는 정황을 확인하였다. 실제 V3 Lite 제품의 아이콘과 매우 유사하게 제작하여 사용자를 속이기 위한 목적으로 판단되며, 최근 한 달 간에는 AveMaria RAT와 AgentTesla 악성코드가 확인되었다.

그림 1) V3 Lite 실행파일의 아이콘과 동일한 악성코드 아이콘

위와 같이 아이콘의 외형 상으로는 실제 V3 Lite 제품의 아이콘과 차이가 없음을 알 수 있다.

AveMaria 악성코드는 원격제어 기능의 RAT(Remote Administration Tool) 악성코드로서, C&C 서버에서 공격자의 명령을 받아 다양한 악성행위를 수행할 수 있다. 보통 AveMaria 악성코드는 안티바이러스 제품진단을 우회하기 위한 목적으로 AgentTesla, Lokibot, Formbook 악성코드들과 유사한 닷넷(.NET) 외형의 패커로 유포되는 특징을 갖는다.

AveMaria 악성코드의 원래 이름은 WARZONE RAT 이지만, 동작과정에서 C2 서버와의 프록시 연결 시 인증 목적으로 “AVE_MARIA” 라는 문자열을 보낸다. 따라서 이 문자열 때문에 AveMaria 라고도 지칭된다.

Avemaria 악성코드의 기능과 바이너리의 분석정보는 AhnLab TIP Portal의 상세분석보고서 및 ASEC블로그를 통해 공개된 바 있다.

악성코드가 동작하는 과정에서 윈도우 시스템 평가 도구인 winSAT.exe 와 winmm.dll 파일을 이용한 UAC 권한상승 목적의 커맨드도 확인되었는데, 이는 아래의 블로그에서 간략히 소개한 바 있다.

그림 2) AveMaria 악성코드 실행 시 메모리에서 확인되는 UAC Bypass 행위

악성코드가 실행되면 timeout.exe 를 통해 의도적인 시간지연을 수행하며, 이후 윈도우 정상 프로세스인 RegAsm.exe 에 악성 바이너리를 인젝션하여 추가 악성행위를 수행한다. 내부에 존재하는 악성 바이너리는 그림 4) 에서 확인할 수 있다.

그림 3) 프로세스트리 (RegAsm.exe 정상프로세스에 인젝션)
그림 4) 디버깅 과정에서 확인되는 내부 DLL 바이너리

AveMaria 악성코드 외에도 AgentTesla 악성코드의 유포가 확인되었다. AgentTesla는 웹브라우저, 메일 및 FTP 클라이언트 등에 저장된 사용자 정보를 유출하는 인포스틸러 유형의 악성코드이며, 매주 제공되는 ASEC 주간 악성코드 통계에서 항상 순위권에 존재할만큼 유포현황이 매우 활발함을 알 수 있다.

그림 5) RAPIT 로그 – 웹브라우저의 데이터를 가로채는 행위
그림 6) 외부 URL에서 내려받는 악성 바이너리
그림 7) RAPIT 프로세스 트리

자사 인프라를 통해 V3 Lite 아이콘을 이용하여 유포되는 연관 악성파일들을 확인해보니 활발하게 유포되는 현황을 파악할 수 있었다. 이러한 악성파일들은 대부분 피싱메일의 첨부파일을 통해 유입되는 경우가 많다.

사용자들은 기본적으로는 출처가 불분명한 메일의 첨부파일 열람은 자제해야하며, 사용하고 있는 안티바이러스 제품을 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
Trojan/Win.MSILKrypt.R495355
Trojan/Win.MSILKrypt.R498085
Trojan/Win.MSIL.C5152589
Trojan/Win.MSIL.R500015
Trojan/Win.MSIL.C515258
Trojan/Win.AveMaria.R498632
Trojan/Win.Tnega.C5059801
Downloader/Win.MSIL.R498629

[메모리진단]
Trojan/Win.AgentTesla.XM95

[행위진단]
Persistence/MDP.AutoRun.M224

[IOC]
c5cb27cb09bdc222aeffaf0cccb96bad
ccb55c0200203e7fb4748d28c30ba2f9
45.162.228[.]171:26112
3280690e018ceb2112ee695933f65742
hxxp://ppz.devel.gns.com[.]br/temps/donexx.exe
hxxp://filetransfer[.]io/data-package/XRWqXdNN/download

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments