ASEC 분석팀에서는 최근 Amadey 봇 악성코드가 LockBit 랜섬웨어를 설치하는 데 사용되고 있는 것을 확인하였다. Amadey Bot은 2018년경부터 확인되는 악성코드로서 공격자의 명령을 받아 정보 탈취나 추가 악성코드를 설치할 수 있다. 일반적인 악성코드들처럼 Amadey 또한 불법 포럼 등을 통해 판매되고 있으며, 이에 따라 현재까지도 다양한 공격자들에 의해 사용되고 있다.
Amadey는 과거 GandCrab 랜섬웨어 공격자들에 의해 랜섬웨어를 설치하는 데 사용되거나, Clop 랜섬웨어로 유명한 TA505 그룹에 의해 FlawedAmmyy를 설치하는 데 사용되었다. 이외에도 최근에는 국내 유명 메신저 프로그램으로 위장하여 유포된 이력이 있다.
LockBit 랜섬웨어를 설치하는데 사용되는 Amadey는 현재까지 2가지 방식으로 유포되는 것이 확인되었다. 하나는 악성 워드 문서 파일이며 다른 하나는 워드 문서 파일의 아이콘을 위장한 실행 파일이다.
유포 사례 1] 악성 워드 문서 파일
다음은 “심시아.docx”라는 이름으로 바이러스토탈에 업로드된 악성 워드 문서이다. 해당 악성코드는 External 형태의 워드 문서로서 실행 시 다음 주소에서 악성 VBA 매크로가 포함된 워드를 다운로드한다.

본문을 보면 이후 VBA 매크로 활성화를 위해 “콘텐츠 사용” 버튼을 클릭하도록 유도하는 그림이 포함되어 있다.

사용자가 “컨텐츠 사용” 버튼을 클릭하면 다운로드된 VBA 매크로가 실행되는데, VBA 매크로는 악성 LNK 파일을 설치하는 기능을 담당한다. LNK 파일은 “C:\Users\Public\skeml.lnk” 경로에 생성되며 다음과 같은 명령으로 실행된다.
> rundll32 url.dll,OpenURL C:\Users\Public\skeml.lnk

LNK 파일은 파워쉘 명령을 실행하여 외부에서 Amadey를 다운로드해 실행시키는 다운로더 악성코드이다.

유포 사례 2] 워드 파일 위장 실행 파일
이외에도 “이력서.exe”라는 파일명으로 수집된 사례도 존재한다. 공격에 사용된 이메일은 확인되지 않지만 “이력서.exe”라는 이름의 파일명으로 실행된 점이나 압축 프로그램에 의해 생성된 점, 이외에도 아래와 같이 정상 워드 문서 파일 아이콘을 위장한 점으로 봤을 때 메일의 첨부 파일을 통해 Amadey가 설치된 것으로 추정된다. 다음은 2022년 10월 27일 경에 수집된 실행 파일이다.

Amadey Bot
위에서 다룬 2개의 Amadey 모두 동일한 C&C 서버 및 다운로드 주소가 사용되는 것으로 보아 공격자는 2가지 유형으로 Amadey Bot을 유포한 것으로 추정된다. 이러한 과정을 통해 실행된 Amadey는 먼저 Temp 경로에 자신을 복사한 후 작업 스케줄러에 등록하여 재부팅 이후에도 실행될 수 있도록 한다.
> “c:\windows\system32\schtasks.exe” /create /sc minute /mo 1 /tn rovwer.exe /tr “c:\users[사용자명]\appdata\local\temp\0d467a63d9\rovwer.exe” /f
이후 C&C 서버에 접속하여 감염 시스템의 기본 정보들을 전달하고 명령을 전달받는다. C&C 서버에 전달하는 감염 시스템에 대한 정보들 및 정보 탈취 목적의 플러그인 등 Amadey의 기능과 관련된 상세한 내용들은 아래의 블로그에서 이미 다루었다.


Amadey가 C&C 서버로부터 전달받은 명령은 모두 3개이며 외부에서 악성코드를 다운로드해 실행하는 다운로더 명령이다. “cc.ps1”, “dd.ps1” 2개는 파워쉘 형태의 LockBit 랜섬웨어이며 “LBB.exe”는 exe 실행 파일 포맷의 LockBit 랜섬웨어이다. 각각 다음과 같이 C&C 서버의 응답에서 보이는 이름의 경로에 생성된다.
– %TEMP%\1000018041\dd.ps1
– %TEMP%\1000019041\cc.ps1
– %TEMP%\1000020001\LBB.exe
LockBit 3.0 랜섬웨어
다운로드 이후에는 각각 생성한 LockBit 랜섬웨어들을 실행한다. 파워쉘 파일은 난독화된 형태이며 LockBit 랜섬웨어가 메모리 상에 복호화되어 실행되는 구조이다.

참고로 Amadey는 다운로드한 파일이 파워쉘일 경우 다음과 같은 명령을 사용한다.
> “c:\windows\system32\windowspowershell\v1.0\powershell.exe” -executionpolicy remotesigned -file “c:\users[사용자명]\appdata\local\temp\1000018041\dd.ps1”
Amadey를 통해 설치되고 있는 LockBit 랜섬웨어는 2022년 경부터 국내를 대상으로 꾸준히 유포되고 있으며, 이미 아래와 같은 다수의 ASEC 블로그에서도 다룬 바 있다. 구체적으로 최근 사용되고 있는 LockBit 3.0 버전이며 주로 입사 지원서나 저작권과 같은 주제를 이용해 유포되는 것으로 보아 기업을 공격 대상으로 하는 것으로 추정된다.
- 지원서 및 저작권 관련 메일로 LockBit 랜섬웨어 유포 중 (2022년 2월 게시)
- 저작권 사칭 메일을 통한 LockBit 랜섬웨어 유포 (2022년 6월 게시)
- 입사지원 위장 메일로 유포 중인 NSIS형태의 LockBit 3.0 랜섬웨어 (2022년 9월 게시)
- 워드 문서를 통해 유포되는 LockBit 3.0 랜섬웨어 (2022년 9월 게시)
LockBit 랜섬웨어는 사용자 환경에 존재하는 파일들을 감염시킨 후 바탕화면을 다음과 같이 변경하여 사용자에게 알린다. 그리고 각 폴더마다 랜섬노트를 생성하여 시스템에 존재하는 데이터가 모두 암호화되었고 탈취되었다는 사실을 알리면서 암호화된 파일 복호화 및 데이터 유출을 조건으로 돈을 요구한다.


최근 LockBit 랜섬웨어가 다양한 방식으로 유포되고 있어 사용자의 주의가 필요하다. 사용하는 응용 프로그램 및 V3를 최신 버전으로 업데이트하여 사용하고 출처를 알 수 없는 문서 파일 실행을 자제해야 한다.
[파일 진단]
– Downloader/DOC.External (2022.10.31.02)
– Downloader/DOC.Generic (2022.10.31.02)
– Trojan/LNK.Runner (2022.10.31.02)
– Malware/Win.Generic.R531852 (2022.10.27.03)
– Trojan/Win.Delf.R452782 (2021.11.24.02)
– Ransomware/Win.LockBit.R506767 (2022.07.27.01)
– Ransomware/PowerShell.Lockbit.S1945 (2022.10.29.00)
[AMSI 진단]
– Ransomware/PowerShell.Lockbit.SA1945 (2022.10.29.00)
[행위 진단]
– Ransom/MDP.Decoy.M1171
– Ransom/MDP.Event.M1875
– Ransom/MDP.Behavior.M1946
[IOC]
MD5
– 13b12238e3a44bcdf89a7686e7179e16 : 악성 워드 문서 (심시아.docx)
– ae59e82ddd8d9840b79bfddbe4034462 : 다운로드된 VBA 매크로 악성코드 (v5sqpe.dotm)
– bf4d4f36c34461c6605b42c456fa4492 : 다운로더 LNK (skeml.lnk)
– 56c9c8f181803ece490087ebe053ef72 : Amadey (1234.exe)
– bf331800dbb46bb32a8ac89e4543cafa : Amadey (이력서.exe)
– ad444dcdadfe5ba7901ec58be714cf57 : Amadey Stealer Plugin (cred.dll)
– f9ab1c6ad6e788686509d5abedfd1001 : LockBit (cc.ps1)
– 1690f558aa93267b8bcd14c1d5b9ce34 : LockBit (dd.ps1)
– 5e54923e6dc9508ae25fb6148d5b2e55 : LockBit (LBB.exe)
C&C 및 다운로드
– hxxp://188.34.187[.]110/v5sqpe.dotm : External 링크
– hxxp://188.34.187[.]110/1234.exe : Amadey 다운로드 주소
– hxxp://62.204.41[.]25/3g4mn5s/index.php : Amadey C&C
– hxxp://62.204.41[.]25/3g4mn5s/Plugins/cred.dll : Amadey Stealer Plugin 다운로드 주소
– hxxp://188.34.187[.]110/dd.ps1 : LockBit
– hxxp://188.34.187[.]110/cc.ps1 : LockBit
– hxxp://188.34.187[.]110/LBB.exe : LockBit
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] Amadey는 올해부터 다시 활발하게 유포되고 있는데 올해 초부터 시작하여 최근까지도 정상 소프트웨어 크랙 및 시리얼 생성 프로그램을 위장한 유포 사이트에서 유포되면서 여러 다른 악성코드들을 설치하고 있다.[1] 이외에도 올해 하반기에는 국내 기업 사용자들을 대상으로 하는 LockBit 3.0 랜섬웨어 공격에도 사용되고 있는데, 스팸 메일의 첨부 파일을 통해 유포되어 LockBit 랜섬웨어를 설치하는 기능을 담당한다.[2] […]