국내 유명 메신저 프로그램으로 위장하여 유포 중인 Amadey Bot

2022년 10월 17일인 오늘, KISA로부터 ‘카카오 서비스 장애 이슈를 악용한 사이버 공격에 대한 주의 권고’ 보안 공지가 게시되었는데, 해당 내용에 따르면 이메일을 통해 카카오톡 설치파일(KakaoTalkUpdate.zip 등)로 위장하여 유포되고 있음을 알 수 있다.

• KISA 보안 공지 참고 URL : https://www.boho.or.kr/data/secNoticeView.do?bulletin_writing_sequence=66958

ASEC 분석팀은 관련 샘플을 모니터링하는 과정에서 해당 류로 보이는 파일을 확보하였다. 해당 악성코드는 유포되는 파일명과 아이콘이 실제 메신저 프로그램과 동일하여 일반 사용자들로 하여금 실행을 유도한다.

메일에 첨부되었을 것으로 보이는 kakaotalk_update.exe 악성코드 초기 실행 시, 해당 프로세스를 재귀 실행하여 자기 자신 프로세스에 인젝션한다. 인젝션 된 프로세스는 C2 서버에 접속하여, 추가 악성코드가 압축된 zip파일을 공용 폴더 경로에 다운로드 한 뒤 아래의 명령을 실행한다.

• cmd.exe /c rundll32.exe “C:\users\public\srms.dat” Run
• cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\Users\[사용자명]\Desktop\kakaotalk_update.exe”

srms.dat 파일명의 다운로드 및 실행된 파일은 [그림3] 드롭퍼(Dropper) 형태로, AmadeyBot 악성코드로 동작하는 DLL을 생성한다.

이 후, rundll32.exe를 활용하여 생성된 tapi32.dll 파일명의 Amadey Bot을 아래와 같이 실행시키고 자가삭제한다.

• rundll32.exe “C:\users\public\348520\tapi32.dll”,Run
• rundll32.exe “C:\users\public\348520\tapi32.dll”,Start
• cmd.exe /C timeout /t 5 /nobreak & Del /f /q “C:\users\public\srms.dat”

실행된 Amadey Bot은 [그림 7]과 같이 C2서버에 감염 시스템의 ID, Amadey 버전, 관리자 권한 여부, 아키텍처, 윈도우 버전, PC 이름, 사용자 이름과 같은 이용자 PC의 정보를 전송한다.

Amadey Bot 악성코드에 대한 상세한 분석 정보는 아래 ASEC 블로그에서 확인이 가능하다.

• SmokeLoader를 통해 유포 중인 Amadey Bot (링크)
• 3대 국내 사용자 타깃 악성코드 ♥ Amadey 봇의 은밀한 관계 (링크)
• ‘GandCrab’ 랜섬웨어와 ‘Amadey’ 봇의 은밀한 관계 (링크)
• [주의] 국내 코인업체 대상 ‘Amadey’ 악성코드 공격시도 (링크)

안랩 제품에서는 해당 악성코드들을 다음과 같이 진단하고 있다.

[파일 진단]
– Downloader/Win.Amadey.R5282269 (2022.10.17.03)
– Trojan/Win.Amadey.C5282244 (2022.10.17.03)
– Dropper/Win.Amadey.C5282248 (2022.10.17.03)

[IOC]

MD5
– 0184b0f6403420f7134a3e4a37498754 (초기 다운로더)
– 00a7588c41c5a1183f098901d30df09a (추가 드롭퍼)
– ccd5a8f11035b888a7a3de6035ac272e (Amadey Bot)

C&C 서버
– hxxps://office-download3791[.]com/list.php
– hxxps://rs-shop7301[.]com/index.php

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.