AhnLab Security Emergency response Center(ASEC)에서는 최근 특정 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유포 중인 것을 확인하였다. SparkRAT은 Go 언어로 개발된 Remote Administration Tool(RAT)로서 사용자 시스템에 설치될 경우 원격 명령 실행, 스크린샷을 포함한 감염 시스템에 대한 정보 수집, 파일 및 프로세스 제어, 추가 페이로드 다운로드와 같은 다양한 악성 행위를 수행할 수 있다.
1. 유포 사례
SparkRAT이 포함된 VPN 업체는 홈페이지 공지사항의 글들이나 파일이 서명된 인증서로 보아 과거부터 운영하고 있던 곳이다. 즉 현재 악성코드 유포를 위해 제작된 홈페이지는 아니며 악성코드가 포함된 인스톨러가 유포된 것은 최근으로 확인된다.

인스톨러는 한글만 확인되지만 해당 VPN 업체의 홈페이지는 한국어뿐만 아니라 영어, 중국어, 일본어를 제공한다. 공지사항에 따르면 주로 중국에서 원활한 인터넷 접속을 위해 설치하는 사람들의 사례가 많은 것으로 추정된다. 실제 자사 AhnLab Smart Defense(ASD) 로그 상에서도 국내 사용자보다 중국에서 설치한 사용자들이 설치한 이력이 더 많이 확인된다.

홈페이지에서 다운로드된 파일은 기존에 확인되는 인스톨러가 아닌 닷넷으로 제작된 드로퍼 악성코드이다. 드로퍼는 기존 VPN 인스톨러와 악성코드를 리소스에 저장하고 있으며, 실행 시 %LOCALAPPDATA%\Syservices\svchost.exe 경로에 악성코드를 생성하고 실행시킨다.

참고로 악성코드뿐만 아니라 기존 VPN 인스톨러 또한 함께 생성 및 실행하기 때문에 사용자는 악성코드가 설치되었는지를 인지하기 힘들고 정상적으로 VPN 인스톨러가 실행된 것으로 생각하게 된다. 또한 악성코드를 작업 스케줄러에 등록하여 재부팅 이후에도 실행될 수 있도록 한다.

“svchost.exe” 이름으로 생성된 악성코드 또한 드로퍼 악성코드이다. 위에서 다룬 드로퍼와 유사하게 리소스에 SparkRAT을 포함하고 있으며 “svch.exe”라는 이름으로 동일 경로에 생성하고 실행하는 기능을 담당한다.

2. SparkRAT
SparkRAT은 오픈 소스 RAT 악성코드로서 깃허브에 공개되어 있다. Go 언어로 개발된 것이 특징인 SparkRAT은 일반적인 RAT 악성코드들처럼 명령 실행, 정보 탈취, 프로세스 및 파일 제어와 같은 기본적인 기능들을 제공한다.

Go 언어는 다양한 플랫폼들을 지원하기 때문에, Go 언어로 개발된 악성코드들 또한 일반적으로 윈도우뿐만 아니라 리눅스, MacOS를 함께 지원하는 경향이 있다. SparkRAT 또한 3가지 운영체제를 모두 지원하며, 다음 표와 같이 각각의 플랫폼 별로 지원하는 기능들을 분류해서 제공한다.

이외에도 SparkRAT의 특징이라고 한다면 위의 깃허브 페이지에서 보이듯 중국어가 지원되는 것이며, 개발자 또한 중국어를 사용하는 것으로 알려져 있다. [1] 과거 SentinelOne에서는 SparkRAT을 이용하는 DragonSpark 공격 캠페인을 소개하면서 공격자들이 중국어에 능통한 것으로 추정하였다. 공격자에 대해 특정할 수는 없지만 현재 공격에 사용된 VPN 또한 중국에서 많이 사용되는 프로그램이라는 특징은 존재한다.
공격에 사용된 SparkRAT은 난독화되어있지 않아 사용된 함수명만으로도 쉽게 구분이 가능하다. SparkRAT은 초기화 함수인 main.init()에서 설정 데이터를 복호화하며, C&C 주소 및 포트 번호와 같은 정보들을 구할 수 있다.


참고로 ASEC에서는 자사 ASD 로그를 통해 연관 파일들을 확인하던 중 해당 VPN으로 추정되는 인스톨러 악성코드들을 통해 추가적인 악성코드들을 확인하였다. 해당 악성코드들은 비슷한 시점에 유포된 것으로 추정되며, x86 아키텍처의 SparkRAT이라는 점이 특징이다.

이외에도 x64 SparkRAT이 https 프로토콜을 사용했던 반면, x86 SparkRAT은 http를 사용함에 따라 다음과 같이 암호화되지 않은 패킷을 확인할 수 있다.

3. 결론
ASEC에서는 최근 VPN 인스톨러에 SparkRAT이 포함된 채 유포된 사례를 확인하였다. 공격자는 정상적으로 사용되는 VPN 서비스를 해킹하여 악성코드를 유포한 것으로 추정된다. 사용자들이 홈페이지에서 악성 인스톨러를 다운로드해 설치하면 악성 인스톨러는 SparkRAT뿐만 아니라 기존 VPN 인스톨러도 함께 설치하여 악성코드 감염 사실을 인지하기 어렵게 한다. 사용자들은 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Dropper/Win.Agent.C5421402 (2023.05.03.00)
– Trojan/Win.Malware-gen.R557808 (2023.02.11.01)
– Dropper/Win.Agent.C5421380 (2023.05.03.00)
– Trojan/Win.Generic.C5228761 (2022.08.28.00)
– Dropper/Win.SparkRAT.C5421465 (2023.05.03.01)
– Backdoor/Win.SparkRAT.C5421466 (2023.05.03.01)
IOC
MD5
– 2e3ce7d90d988e1b0bb7ffce1731b04b : 홈페이지에서 다운로드되는 악성 인스톨러 (167775071_dJABfPme_[…..]VPNSetup1.0.4.3.exe)
– b571d849c0cb3c7af1cee6990654972b : 악성 인스톨러가 생성한 드로퍼 악성코드 (svchost.exe)
– 5b78c44262ebcb4ce52e75c331683b5b : SparkRAT x64 (svch.exe)
– a5950704dfa60ba5362ec4a8845c25b2 : 악성 인스톨러 (167780244_4sfjr6so_[…..]vpnsetup1.0.4.3.exe)
– 7923f9e0e28ceecdb34e924f2c04cda0 : 악성 인스톨러 – SparkRAT x86 (167775071_gbyri71h_167775186_nyc0wzmq_[…..]vpnsetup1.0.4.3.exe)
– e4805cbd59fe793c48f6341f3d1e5466 : SparkRAT x86 (svh.exe)
– 54dd763bca743cbdbdfe709d9ab1d0db : SparkRAT x86 (svh.exe)
C&C
– gwekekccef.webull[.]day:443 : SparkRAT x64
– 59.22.167[.]217:34646 : SparkRAT x86
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT”[1] 블로그에서 국내 VPN 프로그램의 인스톨러에 SparkRAT이 포함되어 유도된 […]