Quasar RAT을 유포하는 사설 HTS 프로그램

ASEC 분석팀에서는 최근 사설 홈트레이딩시스템(HTS : Home Trading System)을 통해 Quasar RAT 악성코드가 유포되고 있는 것을 확인하였다. 공격에 사용된 HPlus라는 이름의 HTS는 검색으로 정보를 찾을 수 없다. 또한 설치 과정에서 확인되는 약관에도 업체의 이름이 확인되지 않아 피해자들은 제도권 금융회사에서 제공하는 HTS가 아닌 무인가 또는 위장 금융 투자 업체를 통해 HPlus HTS를 설치한 것으로 추정된다. 사설 HTS가 설치하는 Quasar는 RAT 악성코드로서 공격자가 감염 시스템에 대한 제어를 획득하여 정보를 탈취하거나 악의적인 행위를 수행할 수 있다.

 

1. 사설 HTS (Home Trading System)

홈트레이딩시스템(HTS)은 투자자가 주식을 사고팔기 위해 증권사 객장에 나가거나 전화를 거는 대신 집이나 사무실에 설치된 PC를 통해 거래할 수 있는 시스템을 말한다. [1] 일반적으로 과거와 달리 요즘은 대부분의 개인들이 주식이나 펀드, 선물과 같은 금융 상품을 거래할 때 핸드폰이나 PC에 HTS를 설치하여 온라인으로 거래하고 있다.

대부분의 경우 사용자들은 거래하는 제도권 금융회사들이 제공하는 HTS를 설치하고 해당 업체를 통해 금융 거래를 진행한다. 하지만 최근에는 불법 금융 투자 업체들이 합법적인 금융회사로 가장해 사설 HTS를 설치하도록 유도한 뒤 투자금을 가로채는 사건이 다수 발생하고 있다.

대부분의 무인가 금융 투자 업체들은 인터넷광고나 문자메시지 광고를 통해 사용자들을 속인 후 카카오톡과 같은 SNS 단체 대화방으로 가입을 유도한다. 일반적으로 소액의 증거금만으로 해외선물 거래가 가능하다는 점이나 수수료 면제, 대출과 같은 광고를 사용하는 것으로 알려져 있다. [2] 단체 대화방의 운영자는 이렇게 모집한 사용자들에게 자체 제작한 사설 HTS를 설치하고 투자금을 입금하도록 유도한다.

사설 HTS를 이용하는 사기집단들은 다양한 방식으로 사용자들의 투자금을 가로채는데, 예를 들어 수익이 발생하는 것처럼 속이고 투자자가 출금 요구 시 잠적하는 경우가 있다. [3] 또는 투자자가 예치금을 넣도록 유인한 후 예치금 전액을 거래 수수료 명목으로 가로채는 경우도 존재한다. [4] 이러한 사기 행위에 사용되는 사설 HTS들은 사용자로 하여금 정상적인 거래가 발생하고 있는 것처럼 인식시키기 위해 증권사들이 제공하는 HTS와 구분하기 힘들 정도로 유사하게 제작하는 것이 특징이다. [5]

 

2. Quasar RAT 유포 사례

2.1. 사설 HTS 위장 악성코드

ASEC 분석팀에서는 최근 Quasar RAT이 사설 HTS를 통해 유포되고 있는 것을 확인하였다. 폐쇄적인 단체 대화방을 통해 설치를 유도하는 사설 HTS의 특징 상 어떤 경로를 통해 설치되었는지 여부는 확인하기 어렵지만, ASD(AhnLab Smart Defense) 로그를 통해 최초 인스톨러를 확보할 수 있었다.

해당 악성코드가 설치된 경로들을 확인한 결과 “Private” 및 “VIP” 키워드가 포함된 경로가 존재하였으며, 이는 위에서 언급한 불법 금융 투자 업체에서 유포한 것으로 보인다. 그리고 “선물”이라는 키워드를 통해 소액의 증거금만으로 해외 선물 거래가 가능하다는 광고를 통해 사용자들을 모집한 것으로 추정된다.

\privatevip_setup [hts]\hplus\
\에이치플러스(선물)\hplus\
\선물 및 주식\hts 매니저\hplus\

최초 설치 프로그램은 “HPlusSetup.exe”라는 이름을 갖는 NSIS 인스톨러이다. 참고로 HPlus라는 이름의 사설 HTS는 적어도 2016년부터 존재했던 것으로 추정되는데 설치 이후 생성된 파일들 중 ASD 인프라 상으로 이미 2016년부터 수집되었던 파일들이 존재하기 때문이다. 설치가 완료되면 설치 경로에서 다음과 같은 파일들을 확인할 수 있다. 여기에서 악성 파일은 업데이트 서버 주소가 존재하는 “config.ini” 파일이다.

Figure 1. 설치 경로

설치가 끝난 후 최초로 실행되는 프로그램은 “Asset.exe”이며, 바탕화면에 생성되는 바로가기 파일도 “Asset.exe” 파일을 실행하는 역할을 한다. 런쳐이자 업데이트 프로그램인 “Asset.exe”는 실행 시 동일한 경로에 존재하는 “config.ini” 파일을 읽어와 업데이트 서버 주소를 획득하여 현재 최신 버전인지를 검사한다. 만약 최신 버전이 아닐 경우에는 업데이트 파일을 다운로드하고 설치한다.

공격자는 “config.ini” 파일의 내용을 악성코드가 업로드되어 있는 FTP 서버 주소로 설정한 후 설치 파일을 유포한 것으로 추정된다. 이를 통해 악성코드가 포함된 업데이트 압축 파일을 다운로드하고 사용자 환경에 Quasar RAT을 설치하는 것이다.

Figure 2. 악성코드 설치 흐름

참고로 사설 HTS인 HPlus가 과거부터 악성코드를 설치하였는지는 확인되지 않는다. 확인되는 사실은 HPlus가 과거 2016년 경부터 2017년 경까지 사용되었으며, 이후 다시 최근에 Quasar RAT을 설치하는 악성코드로서 유포되기 시작했다는 점이다.

 

2.2. 업데이트 과정

사용자가 최초로 실행하는 “Asset.exe”는 사설 HTS를 실행하는 런쳐이자, 최신 버전인지를 확인하고 아닐 경우 업데이트를 수행하는 업데이트 프로그램이다. 이를 위해 실행 시 먼저 업데이트 서버 주소를 구하는데, 해당 주소는 동일 경로에 위치하는 “config.ini” 파일에 존재한다. “config.ini” 파일을 확인해 보면 다음과 같은 숫자들이 존재하는데, 특정 위치의 숫자가 C&C 서버의 IP 주소이다. 즉 하드코딩되어 있는 특정 위치의 숫자가 C&C 주소로서, 예를 들어 446, 409, 408번째 숫자는 “1”, “0”, “3”이다.

Figure 3. C&C 주소가 포함된 config.ini 파일
Figure 4. 각 위치에 존재하는 숫자로 C&C 주소 생성

참고로 C&C 서버의 포트 번호는 “Asset.exe” 파일에 하드코딩되어 있는데, “Asset.exe” 파일이 2016년경에 수집된 것으로 추정했을 때 공격자는 이것을 그대로 사용하기 위해 포트 번호를 기존 “Asset.exe” 파일의 것으로 설정한 것으로 추정된다. 이외에도 위에서 언급한 설정 파일에 존재하는 C&C 서버 주소의 각 위치, 그리고 FTP 서버의 계정 정보도 “Asset.exe” 파일에 하드코딩되어 있다. 이는 공격자가 악성코드 유포를 위해 과거와 동일한 포트 번호 및 계정 정보를 사용한 것을 의미한다.

Figure 5. 하드코딩되어 있는 FTP 계정 정보

“Asset.exe”는 업데이트 서버에서 “NewVer.ver” 파일을 다운로드한 뒤 동일 경로에 존재하는 “LocalVer.ver” 파일과 비교하여 최신 버전인지를 검사한다. 최신 버전이 아닐 경우에는 “NewVer.ver” 파일에 설정되어 있는 최신 버전 압축 파일을 다운로드하고 동일 경로에 설치한다.

Figure 6. FTP 서버에서 업데이트 파일 다운로드

다운로드된 압축 파일 내부의 “StockProForHplus2.exe”는 기존의 HTS 프로그램인 “StockProForHplus.exe”에 런쳐 기능이 추가된 악성코드이다. 참고로 현재 공개된 소스 코드는 확인되지 않지만, 최근 유포 중인 “StockProForHplus2.exe”에 공격자가 지정한 기능이 포함된 것으로 보아 공격자가 해당 소스 코드를 확보하고 있는 것으로 추정된다. 또한 수집된 “StockProForHplus.exe” 파일들이 다양한 PDB 정보를 가지고 있는 것으로 보아 HPlus의 소스 코드가 현재 판매 또는 공유되고 있는 것으로 보인다.

Figure 7. 다운로드된 압축 파일

“HPlus_client_2.0.6.zip” 파일에 존재하는 “StockProForHplus2.exe” 파일에는 HTS 기능 외에 Quasar RAT 즉 “HPlusSocketManager20221208.exe” 파일을 실행하는 기능이 추가되어 있다. 참고로 윈도우 디펜더 예외 경로를 추가하는 명령이 함께 존재하는 파일들도 있다.

Figure 8. HTS 프로그램인 StockProForHplus.exe에 삽입된 명령

“StockProForHplus2.exe”는 Quasar RAT을 실행하는 런쳐이지만 기본적으로 HPlus HTS이다. 분석 과정에서 회원가입 및 로그인은 진행하지 않았지만 과거부터 존재하던 프로그램이다 보니 사용자를 속일 수 있도록 로그인 이후에도 일반적인 HTS와 유사하게 동작할 것으로 추정된다.

Figure 9. 실행된 HPlus HTS

회원가입 버튼을 클릭할 시 보여주는 위의 이용약관에 따르면 다음과 같은 서비스를 제공한다고 한다.

– 국내외 파생상품관련 정보제공서비스
– 국내외 파생상품관련 전문가 발굴 및 분석전략
– 게시판, 동호회, 채팅 서비스
– 메일링 서비스
– 금융시장 관련 정보제공 서비스
– 기타

 

2.3. Quasar RAT

“HPlusSocketManager20221208.exe”는 “vbc.exe”를 실행하고 Quasar RAT을 인젝션한다. 이에 따라 Quasar RAT은 정상 프로세스인 “vbc.exe”의 메모리 상에서 동작한다.

Figure 10. 난독화된 Quasar RAT 악성코드
Figure 11. Quasar RAT

Quasar RAT은 닷넷으로 개발된 오픈 소스 RAT 악성코드이다. 일반적인 RAT 악성코드들처럼 프로세스 및 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능들을 제공한다. Quasar RAT은 이외에도 키로깅, 계정 정보 수집 기능들을 제공하여 사용자 환경의 정보를 탈취할 수 있고, 원격 데스크탑을 통해 실시간으로 감염 시스템을 제어할 수 있다. 이에 따라 HPlus HTS를 설치한 사용자들은 공격자에 의해 언제든 계정 정보를 포함한 다양한 개인 정보들을 탈취당할 수 있다.

Figure 12. Quasar RAT이 제공하는 기능들
  • C&C : 103.136.199[.]131:4449
  • Version : v1.4.0
  • TAG : “hplus”

 

3. 결론

사기집단들은 과거 피해자들의 투자금을 가로채는 수단으로서 사설 HTS를 사용하였지만, 최근에는 피해자 PC에 악성코드를 설치하는 용도로 사용하고 있다. 이에 따라 피해자들은 과거에는 단순하게 투자금을 돌려받지 못하는 것에 그쳤다면, 이제는 함께 설치되는 Quasar RAT을 통해 공격자가 PC를 제어할 수 있게 되어 개인 정보 탈취를 포함한 추가적인 피해를 입을 수 있다.

금융감독원에 따르면 “제도권 금융회사라면 메신저 등을 통해 사설 HTS를 배포하지 않는다”고 한다. [6] 사용자들은 공식 홈페이지를 통해 제도권 금융회사들이 제공하는 HTS를 설치하여야 한다. 수익을 목적으로 불법 금융 투자 업체들을 통해 사설 HTS를 설치할 경우 투자금 손실뿐만 아니라 악성코드에 감염되어 시스템에 저장되어 있는 사용자의 개인 정보들을 탈취당할 수 있다.

사용자들은 설치된 소프트웨어를 최신 버전으로 패치하여 취약점 공격을 사전에 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Dropper/Win.Agent.C5369588 (2023.01.30.01)
– Trojan/Win.Agent.C5367163 (2023.01.27.00)
– Trojan/Win.Launcher.C5369589 (2023.01.30.01)
– Trojan/Win.CrypterX-gen.C5334365 (2022.12.15.03)
– Trojan/Win.Generic.C5334977 (2022.12.16.01)
– Trojan/Win.GZ.C5336652 (2022.12.19.01)
– Trojan/Win.HacktoolX-gen.C5361479 (2023.01.19.02)
– Trojan/Win.Injection.C5360107 (2023.01.17.02)
– Trojan/Win.Injection.C5366537 (2023.01.26.01)
– Backdoor/Win.QuasarRAT.C5369591 (2023.01.30.01)
– Backdoor/Win.QuasarRAT.C5369592 (2023.01.30.01)
– Backdoor/Win.QuasarRAT.C5369593 (2023.01.30.01)

행위 진단
– Injection/MDP.Hollowing.M4180

IOC
MD5

– 56961c573c78681b98c8336679202ead : Installer (HPlusSetup.exe)
– a041b5708e8a0bf36b83312cbf3c94c9 : Launcher (StockProForHplus.exe)
– b50c4b4958caba46760fccb02946966b : Launcher (StockProForHplus.exe)
– c2a10f5d57bb88611708312cca599e12 : Launcher (StockProForHplus.exe)
– ca50da047871d8986c4bb4044a251755 : Launcher (StockProForHplus.exe)
– d3f295841d4b8df890554978a4a90346 : Launcher (StockProForHplus.exe)
– f7e86dce64f7248aed7ef70d127f5eaf : Launcher (StockProForHplus.exe)
– fb08fa91bf71e923027e9fe88e2bbec6 : Launcher (StockProForHplus.exe)
– 2e0ec9bd44f169e86a957e0fec7d950d : Launcher (StockProForHplus.exe)
– 4db2078c0a7b72046fa6e68a62862508 : Launcher (StockProForHplus.exe)
– 6f5237ef99b4864a16f32c972fb86cdf : Launcher (StockProForHplus.exe)
– 60eafec4ec4ec23ba602068e5a6364b8 : Launcher (StockProForHplus.exe)
– 2258e46dc24f2c4be97aa051a05ebffd : Launcher (StockProForHplus.exe)
– 5267184953c662d0fa6a4db83fe4b775 : Launcher (StockProForHplus.exe)
– 4028da04ce0c9593c19bcc8b9c1cd14b : Launcher (StockProForHplus2.exe)
– a7c6f450bc567d2a0abffe2704a698d2 : Launcher (StockProForHplus2.exe)
– 2143f826dab2f82ec88d2de75f3ef96f : Quasar RAT (hplussocketmanager.exe)
– 58401b5cd964ab334ee883853520bf79 : Quasar RAT (HPlusSocketManager20221208.exe)
– 9174679e2f655034aa0b41774c7f54e0 : Quasar RAT (HPlusSocketManager20221208.exe)
– c5fcd3857921ac1b95afe73e7ec8ca66 : Quasar RAT (HPlusSocketManager20221208.exe)
– eb921e3d6e81a020fffd84da91bf29cf : Quasar RAT (HPlusSocketManager20221208.exe)
– f9c47fb25a5dc5a3857fbb109b122d69 : Quasar RAT (HPlusSocketManager20221208.exe)
– f3335c9c4c485cf98fee7f9c03033c15 : Quasar RAT (HPlusSocketManager20221208.exe)
– 0cb69119c327ef66b1595cda3b2ce99a : Quasar RAT (HPlusSocketManager20221208.exe)
– 0d6028c16b0bef0eaded10540a108fff : Quasar RAT (HPlusSocketManager20221208.exe)
– 4e1e6bd1655b941d78e7a6785017a260 : Quasar RAT (HPlusSocketManager20221208.exe)
– 37b8b575c93a5e8dd2643a5d9913df02 : Quasar RAT (HPlusSocketManager20221208.exe)
– 82e7624ba7b3213ccaa837d83b93307a : Quasar RAT (HPlusSocketManager20221208.exe)
– 508ec48d546b6c88092e8e9b05a672d2 : Quasar RAT (HPlusSocketManager20221208.exe)
– 33307a589a405cd782d738aa592f87fc : Quasar RAT (HPlusSocketManager20221208.exe)
– a9ab7e58e79a1c586677df06dde3708f : Quasar RAT (HPlusSocketManager20221208.exe)
– 3c84e468fbab273bc1d7d9bc439ddab0 : Quasar RAT (HPlusSocketManager20221208.exe)
– 1b7da03bee74107fee53b27cacc52f96 : Quasar RAT (HPlusSocketManager20221208.exe)
– 8cf9cc6a5b1b8594c9b87793754ef026 : Quasar RAT (HPlusSocketManager20221208.exe)
– a5750ff65c58a3fe7031cbd36ddab0ba : Quasar RAT (HPlusSocketManager20221208.exe)
– 128b5f28a737838e162cfc972a8797ee : Quasar RAT (HPlusSocketManager20221208.exe)

다운로드 주소
– 103.136.199[.]131:24879 – FTP

C&C
– 103.136.199[.]131:4782 – Quasar RAT

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

0 0 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments