AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수 있다.
1. 유포 사례
SparkRAT이 포함된 VPN 업체는 홈페이지 공지사항의 글들이나 파일이 서명된 인증서로 보아 과거부터 운영하고 있던 곳이다. 즉 현재 악성코드 유포를 위해 제작된 홈페이지는 아니며 악성코드가 포함된 인스톨러가 유포된 것은 최근으로 확인된다.

인스톨러는 한글만 확인되지만 해당 VPN 업체의 홈페이지는 한국어뿐만 아니라 영어, 중국어, 일본어를 제공한다. 공지사항에 따르면 주로 중국에서 원활한 인터넷 접속을 위해 설치하는 사람들의 사례가 많은 것으로 추정된다. 실제 자사 AhnLab Smart Defense(ASD) 로그 상에서도 국내 사용자보다 중국에서 설치한 사용자들이 설치한 이력이 더 많이 확인된다.

홈페이지에서 다운로드된 파일은 기존에 확인되는 인스톨러가 아닌 닷넷으로 제작된 드로퍼 악성코드이다. 드로퍼는 기존 VPN 인스톨러와 악성코드를 리소스에 저장하고 있으며, 실행 시 %LOCALAPPDATA%\Syservices\svchost.exe 경로에 악성코드를 생성하고 실행시킨다.

참고로 악성코드뿐만 아니라 기존 VPN 인스톨러 또한 함께 생성 및 실행하기 때문에 사용자는 악성코드가 설치되었는지를 인지하기 힘들고 정상적으로 VPN 인스톨러가 실행된 것으로 생각하게 된다. 또한 악성코드를 작업 스케줄러에 등록하여 재부팅 이후에도 실행될 수 있도록 한다.

“svchost.exe” 이름으로 생성된 악성코드 또한 드로퍼 악성코드이다. 위에서 다룬 드로퍼와 유사하게 리소스에 SparkRAT을 포함하고 있으며 “svch.exe”라는 이름으로 동일 경로에 생성하고 실행하는 기능을 담당한다.

2. SparkRAT
SparkRAT은 오픈 소스 RAT 악성코드로서 깃허브에 공개되어 있다. Go 언어로 개발된 것이 특징인 SparkRAT은 일반적인 RAT 악성코드들처럼 명령 실행, 정보 탈취, 프로세스 및 파일 제어와 같은 기본적인 기능들을 제공한다.

Go 언어는 다양한 플랫폼들을 지원하기 때문에, Go 언어로 개발된 악성코드들 또한 일반적으로 윈도우뿐만 아니라 리눅스, MacOS를 함께 지원하는 경향이 있다. SparkRAT 또한 3가지 운영체제를 모두 지원하며, 다음 표와 같이 각각의 플랫폼 별로 지원하는 기능들을 분류해서 제공한다.

이외에도 SparkRAT의 특징이라고 한다면 위의 깃허브 페이지에서 보이듯 중국어가 지원되는 것이며, 개발자 또한 중국어를 사용하는 것으로 알려져 있다. [1] 과거 SentinelOne에서는 SparkRAT을 이용하는 DragonSpark 공격 캠페인을 소개하면서 공격자들이 중국어에 능통한 것으로 추정하였다. 공격자에 대해 특정할 수는 없지만 현재 공격에 사용된 VPN 또한 중국에서 많이 사용되는 프로그램이라는 특징은 존재한다.
공격에 사용된 SparkRAT은 난독화되어있지 않아 사용된 함수명만으로도 쉽게 구분이 가능하다. SparkRAT은 초기화 함수인 main.init()에서 설정 데이터를 복호화하며, C&C 주소 및 포트 번호와 같은 정보들을 구할 수 있다.


참고로 ASEC에서는 자사 ASD 로그를 통해 연관 파일들을 확인하던 중 해당 VPN으로 추정되는 인스톨러 악성코드들을 통해 추가적인 악성코드들을 확인하였다. 해당 악성코드들은 비슷한 시점에 유포된 것으로 추정되며, x86 아키텍처의 SparkRAT이라는 점이 특징이다.

이외에도 x64 SparkRAT이 https 프로토콜을 사용했던 반면, x86 SparkRAT은 http를 사용함에 따라 다음과 같이 암호화되지 않은 패킷을 확인할 수 있다.

3. 결론
ASEC에서는 최근 VPN 인스톨러에 SparkRAT이 포함된 채 유포된 사례를 확인하였다. 공격자는 정상적으로 사용되는 VPN 서비스를 해킹하여 악성코드를 유포한 것으로 추정된다. 사용자들이 홈페이지에서 악성 인스톨러를 다운로드해 설치하면 악성 인스톨러는 SparkRAT뿐만 아니라 기존 VPN 인스톨러도 함께 설치하여 악성코드 감염 사실을 인지하기 어렵게 한다. 사용자들은 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Dropper/Win.Agent.C5421402 (2023.05.03.00)
– Trojan/Win.Malware-gen.R557808 (2023.02.11.01)
– Dropper/Win.Agent.C5421380 (2023.05.03.00)
– Trojan/Win.Generic.C5228761 (2022.08.28.00)
– Dropper/Win.SparkRAT.C5421465 (2023.05.03.01)
– Backdoor/Win.SparkRAT.C5421466 (2023.05.03.01)
IOC
MD5
– 2e3ce7d90d988e1b0bb7ffce1731b04b : 홈페이지에서 다운로드되는 악성 인스톨러 (167775071_dJABfPme_[…..]VPNSetup1.0.4.3.exe)
– b571d849c0cb3c7af1cee6990654972b : 악성 인스톨러가 생성한 드로퍼 악성코드 (svchost.exe)
– 5b78c44262ebcb4ce52e75c331683b5b : SparkRAT x64 (svch.exe)
– a5950704dfa60ba5362ec4a8845c25b2 : 악성 인스톨러 (167780244_4sfjr6so_[…..]vpnsetup1.0.4.3.exe)
– 7923f9e0e28ceecdb34e924f2c04cda0 : 악성 인스톨러 – SparkRAT x86 (167775071_gbyri71h_167775186_nyc0wzmq_[…..]vpnsetup1.0.4.3.exe)
– e4805cbd59fe793c48f6341f3d1e5466 : SparkRAT x86 (svh.exe)
– 54dd763bca743cbdbdfe709d9ab1d0db : SparkRAT x86 (svh.exe)
C&C
– gwekekccef.webull[.]day:443 : SparkRAT x64
– 59.22.167[.]217:34646 : SparkRAT x86
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 […]
해당 시기에 안랩측 분석팀 자체 재검사에서도
문제 없다고 나왔습니다
저희 홈페이지를 노출시키셔서 해당 글로 인해
저희업체 막대한 영업 타격까지 초래되고 있는
상황입니다 조치 부탁 드립니다
문제가 없다고 결론이 난 상황에서
작성하신분은 위 글이 아무것도 아닐수 있으나
저희는 생존과 운영에 막대한 영향을 끼치는 상황입니다
안녕하세요. AhnLab Security Emergency response Center(ASEC)입니다.
해당 웹 페이지에서는 주기적으로 악성코드가 업로드되어 VPN을 설치하는 사용자들로 하여금 악성코드 감염 문제를 일으키고 있습니다. 몇 차례의 악성코드 업로드가 이루어진 점을 보아 보안 점검이 시급해 보이며, 근본적인 보안 조치가 이루어지지 않을 경우 지속적으로 홈페이지상의 VPN 설치 파일 링크가 악성코드를 다운로드 하도록 변경될 수도 있습니다. 만약 조치를 완료하신다면 저희 블로그에서도 ‘조치가 완료되었음’을 공지하도록 하겠습니다.
ASEC 블로그 공개 이후 현재는 (확인 시점 5월 31일 PM 1:30) 홈페이지 상의 VPN설치 파일 링크는 정상 인스톨러를 다운로드하도록 변경되었지만, 다운로드 링크만 변경되었을 뿐 해당 웹 페이지에는 아직도 악성코드들이 업로드 되어있습니다. 아래 캡처는 웹 페이지에 업로드 되어있는 파일들의 리스트이며, 일반 사용자들도 모두 확인이 가능한 상황으로 보안에 취약한 상황입니다. 붉은색으로 표기된 파일들이 악성코드이며, 현재(확인 시점 5월 31일 PM 1:30)도 해당 링크를 통해 다운로드 가능합니다.
귀사의 웹 페이지에 업로드 되어있는 악성코드 리스트 (첨부 캡처 참고)
다운로드되고 있는 악성코드 링크 (확인 시점 5월 31일 PM 1:30)
· hxxps://svsv.co[.]kr/UPLOAD/DOMAIN_INFO/167775071_0JXgFMVI_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/UPLOAD/DOMAIN_INFO/167775071_dJABfPme_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/UPLOAD/DOMAIN_INFO/167775071_GByrI71H_167775186_nyc0wZMq_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/ UPLOAD /DOMAIN_INFO/167775087_qy8iu7xo_PandaVPNSetup.exe
· hxxps://svsv.co[.]kr/ UPLOAD /DOMAIN_INFO/167780122_Iegh87T4_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/UPLOAD/DOMAIN_INFO/167780244_4sFjR6So_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/ UPLOAD /DOMAIN_INFO/167780318_vpFOrUN5_PandaVPNSetup1.0.4.3.exe
· hxxps://svsv.co[.]kr/UPLOAD/DOMAIN_INFO/167775071_0JXgFMVI_PandaVPNSetup1.0.4.3.exe
참고로 VirusTotal에서도 해당 웹 페이지에 업로드 되어있는 링크 주소에서 악성코드가 다운로드 된 정황이 기록되어 있습니다.
· https://www.virustotal.com/gui/file/792375bf8ffdf0b444d515822aa09d9abbac22593300e7b682fab18b3b4994a2/detection
저희가 정상이라고 회신드린 부분에서 잘못 알고 계신 부분이 있어 설명드립니다.
5월 3일에 저희에게 문의하셔서 저희가 4일에 정상이라고 회신한 파일은 ASEC블로그에서 언급한 악성 설치 파일과는 다른 파일입니다. 즉, 저희에게 문의주신 파일(1개)은 정상 설치 파일이 맞지만, 그 파일은 (ASEC블로그에 언급한)악성코드를 생성하는 다수의 설치 파일과는 다른 파일입니다.
분석 요청하신 설치 파일 MD5 해쉬
CA66644643B7DBD1FBF686818D7794A4
ASEC블로그에서 언급한 악성코드 포함한 설치 파일 MD5 해쉬
A5950704DFA60BA5362EC4A8845C25B2
7923f9e0e28ceecdb34e924f2c04cda0,
0574f906b97f2e74ae49b6e900b5c60d,
2e3ce7d90d988e1b0bb7ffce1731b04b
이 내용은 5월 3일 이후에 저희와 주고받으신 다수의 메일로 미루어볼 때, 문의주신 업체에서도 (해당 부분을) 충분히 인지하고 계신 것으로 보입니다.
감사합니다.
[…] Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 […]
[…] 사용되고 있다. 과거 국내 VPN 설치 파일에 포함되었던 SparkRAT 공격 사례나 [1] 중국에서 제작한 원격 제어 유틸리티인 Sunlogin의 취약점 공격 사례에서 […]