AhnLab Security Emergency response Center(ASEC)에서는 과거 “국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT” [1] 포스팅과 “국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석” [2] 포스팅을 통해 국내 VPN 업체의 설치 파일에서 SparkRAT 악성코드가 유포된 사례를 공개한 바 있다.
ASEC에서는 최근 유사한 악성코드들이 국내 VPN 업체들과 마케팅 프로그램 판매 업체의 설치 파일로 위장하여 유포 중인 것을 확인하였다. 차이점이 있다면 과거 SparkRAT을 설치한 대신 Sliver C2가 공격에 사용되었으며, [3] 탐지를 우회하기 위한 기법들이 함께 사용되었다는 점이다.
현재 기준 해당 업체들 대부분은 홈페이지에서 정상 설치 파일이 다운로드되고 있다. 이에 따라 과거처럼 공식 홈페이지의 설치 파일에서 유포된 후 현재 조치가 되었는지 또는 다른 유포 경로가 있는지는 확실하지 않다. 하지만 관련 악성코드들을 조사한 결과 모두 동일한 프로그램 개발 업체에서 제공되는 프로그램들과 관련됐다는 사실이 확인되었다. 악성코드들 대부분은 해당 개발 업체의 인증서를 위장하고 있었으며 유효한 인증서로 서명된 악성코드들도 다수 확인된다.
또한 해당 개발 업체에서 제공하는 소프트웨어 다운로드 웹 사이트에서는 아직까지도 악성 설치 파일이 업로드되어 있어 사용자들이 이러한 사실을 모르고 설치할 수 있다. 이러한 사실들을 통해 공격자가 프로그램 개발 업체를 공격해 악성코드가 포함된 설치 파일들을 유포시킨 것으로 추정되며 이러한 공격은 올해 상반기부터 지속적으로 이루어지고 있다.
1. 과거 공격 사례
과거 사례들을 보면 국내 VPN 업체의 홈페이지에서 기존 설치 파일 대신 악성 설치 파일이 업로드되어 있었다. 이에 따라 사용자는 정상적으로 설치 파일을 실행했다고 인지할 수 있지만 악성코드도 함께 시스템에 설치되어 동작하게 된다. 최초 공격에서 악성 설치 파일은 닷넷으로 개발되어 있었으며 단순하게 정상 설치 파일과 SparkRAT 악성코드를 생성하고 실행하였다. SparkRAT은 Go 언어로 개발된 오픈 소스 RAT 악성코드로서 깃허브에 공개되어 있으며 명령 실행, 정보 탈취, 프로세스 및 파일 제어와 같이 감염 시스템을 제어할 수 있는 기능들을 제공한다.
이후에도 해당 VPN 업체의 홈페이지에서는 지속적으로 악성코드가 업로드되었으며 탐지를 우회하기 위해 직접 악성코드를 드롭하는 대신 다운로더 악성코드를 거쳐 SparkRAT을 설치하는 방식으로 변경되었다. 그리고 백도어인 SparkRAT을 감염 시스템에 설치한 이후에도 원격 데스크톱을 위해 MeshCentral의 MeshAgent를 추가적으로 설치하였다.
2. 현재 공격에 사용 중인 악성코드 분석
악성코드를 함께 설치하는 드로퍼였던 과거의 악성 설치 파일과 달리 현재 사용되는 유형은 다운로더이자 인젝터 악성코드이다. 인스톨러를 포함하여 공격에 사용된 악성코드들은 Go 언어로 개발되었으며 모두 난독화된 형태이다. 공격자가 과거 사용한 SparkRAT 또한 Go 언어로 개발된 백도어이며 이후 공격 과정에서도 Go 언어로 개발한 드로퍼 및 다운로더 악성코드를 사용하였다. 최근 확인되고 있는 Sliver C2 또한 Go 언어로 개발된 점을 보면 공격자는 악성코드 제작 시 Go 언어를 선호하는 것으로 보인다.
악성 설치 파일은 C&C 서버에 접속해 암호화된 설정 데이터를 다운로드하며 조건에 매칭될 경우 Sliver C2를 다운로드해 정상 프로그램인 메모장(notepad.exe)를 실행하고 여기에 인젝션한다. 이러한 과정은 정상 설치 파일을 생성하고 실행하는 작업과 동시에 이루어지기 때문에 사용자들은 정상적인 설치 파일이라고 생각할 수 있다.
악성 설치 파일은 안티 샌드박스 기능이 포함되어 있다. 현재 실행 중인 프로세스들의 목록을 조회하여 특정 프로세스가 실행 중일 경우에만 인젝션 행위를 수행한다. 검사하는 프로세스의 목록은 다음 주소에 암호화된 형태로 존재하며 악성코드는 이를 다운로드해 복호화하여 조건 검사에 사용한다.
- 설정 다운로드 주소 : hxxps://status.devq[.]workers.dev/
| 프로세스 이름 |
|---|
| Discord.exe, discord.exe, NexonPlug.exe, nexonplug.exe, OP.GG.exe, op.gg.exe, qq.exe, line.exe, QQGuild.exe, qqguild.exe, QQProtect.exe, qqprotect.exe, TrafficPro.exe, trafficpro.exe, WeChatAppEx.exe, wechatappex.exe, WeChatPlayer.exe, wechatplayer.exe, anydesk.exe, kakaotalk.exe, ldplayer.exe, logibolt.exe, obs64.exe, skype.exe, telegram.exe, wechat.exe, whale.exe |
해당 문자열들은 일반적인 사용자들의 PC에 설치되어 있을만한 프로그램들이다. 참고로 이러한 VPN 서비스들의 주요 고객이 중국에서 원활한 인터넷 접속을 위해 VPN을 설치하는 사용자들이기 때문에 중국 메신저들도 많이 확인된다. 악성코드는 조건에 매칭되면 외부에서 암호화된 Sliver C2를 다운로드하고 복호화하며, 이후 정상 프로그램인 메모장을 실행시키고 여기에 Sliver C2를 인젝션한다.
- Sliver C2 다운로드 주소 : hxxps://config.v6[.]army/sans.woff2
Sliver C2는 깃허브에 공개된 오픈 소스 침투 테스트 도구이다. 침투 테스트 도구라고 한다면 기업이나 기관의 네트워크 및 시스템에 대한 보안 취약점을 점검하기 위한 목적으로 사용 가능한 도구이다. 일반적으로 침투 테스트 단계별로 다양한 기능들을 지원하기 때문에 공격자들이 사용한다면 악의적인 목적으로 사용될 수 있다는 특징이 있다. 대표적인 침투 테스트 도구라고 한다면 상용 도구인 코발트 스트라이크와 오픈 소스인 Metasploit이 있다. 최근에는 이 두 가지 외에도 Sliver C2를 이용한 공격 사례도 사례가 다수 확인된다.
공격자는 기존에 사용하던 SparkRAT 대신 Sliver C2를 공격에 사용하였는데, 이는 Sliver C2가 단순한 백도어인 SparkRAT보다 더 많은 기능들을 지원하기 때문으로 추정된다. Sliver C2가 지원하는 기능들로는 프로세스 및 파일 작업, 명령 실행, 파일 업로드/다운로드, 스크린샷 캡쳐 등과 같이 일반적인 백도어 및 RAT 악성코드들이 지원하는 대부분의 기능들 외에도 권한 상승이나 프로세스 메모리 덤프, 측면 이동과 같이 내부망 장악을 위해 필요한 다양한 기능들도 제공한다.
- Sliver C2 이름 : PRETTY_BLADDER
- Sliver C2의 C&C 주소 : hxxps://panda.sect[.]kr
3. 추가 악성코드 분석
비록 공격에 사용된 악성코드가 SparkRAT에서 Sliver C2로 변경되긴 했지만, 공격자는 최종 악성코드로서는 동일하게 MeshAgent를 사용하고 있다. 공격자는 메모장에 인젝션된 Sliver C2를 이용해 “%PROGRAMFILES%\Microsofts\Microsofts\preMicrosoft.exe” 경로에 MeshAgent를 설치하였다.
MeshCentral에서 제공하는 MeshAgent는 명령 실행이나 파일 다운로드와 같은 각종 시스템 제어 명령들뿐만 아니라 VNC, RDP와 같은 원격 데스크톱 기능을 제공한다. 일반적인 사용자들은 원격에서 시스템을 관리하기 위해 이를 이용할 것이지만 이러한 기능들 때문에 악의적인 목적으로 사용할 수 있으며 실제 공격자도 감염 시스템에 대한 원격 제어를 위해 MeshAgent를 사용한 것으로 보인다.
- MeshAgent의 C&C 주소 : speed.ableoil[.]net:443
공격자는 Sliver C2와 MeshAgent를 설치하여 감염 시스템에 대한 제어를 탈취하였으며, 이후 PC에 저장되어 있는 사용자의 정보들을 탈취하거나 추가 악성코드 설치와 같은 다양한 악성 행위를 수행할 수 있다. 자사 AhnLab Smart Defense(ASD) 로그에 따르면 공격자는 MeshAgent를 이용해 “m.exe”라고 하는 추가 악성코드를 설치하였다. “m.exe”는 마찬가지로 깃허브에 공개되어 있는 웹캠 캡쳐 악성코드로서 다른 악성코드들처럼 Go 언어로 제작되어 있다. 공격자는 해당 악성코드를 이용해 웹캠이 지원되는 시스템에서 사용자의 사진을 캡쳐할 수도 있다.
4. 공격에 사용된 설치 파일들
현재 대부분의 VPN 및 마케팅 프로그램 판매 업체들의 홈페이지에서는 정상 설치 파일들만 확인되지만 아직 조치가 완전히 이루어지지 않은 업체도 존재한다. 특정 VPN 업체의 경우 홈페이지의 다운로드 링크에서는 정상 설치 파일이 다운로드되지만 웹 사이트에는 아직 악성 설치 파일이 업로드되어 있어 다운로드가 가능하다.
이외에도 다음과 같은 소프트웨어 다운로드 사이트에서도 악성 설치 파일이 유포되고 있는데, 확인 결과 동일한 프로그램 개발 업체의 또 다른 웹 사이트였다. 해당 파일들은 폰트 파일이어야 하지만 실제 다운로드되는 것은 악성 설치 파일이다.
위의 악성코드들은 모두 유효하지 않은 인증서로 서명되어 있으며 공격자가 설치 파일을 위장하기 위해 인증서를 도용하였다. 하지만 실제 해당 프로그램 개발 업체의 유효한 인증서로 서명된 악성코드들도 다수 존재한다. 유효하게 서명된 악성코드들은 여러 서비스들의 설치 파일을 위장한 악성 설치 파일들과 VPN 실행 파일들 그리고 MeshAgent 등 다양하다.
정리하자면 구체적인 정황은 알 수 없지만 공격자는 악성코드를 프로그램 개발 업체의 유효한 인증서로 서명할 수 있으며 해당 개발 업체가 제공하는 다양한 서비스들을 위장한 악성 설치 파일들이 다수 확인된다.
5. 결론
현재 특정 프로그램 개발 업체를 통해 악성코드가 유포되고 있으며 해당 업체의 유효한 인증서로 서명된 악성코드들도 다수 확인된다. 이에 따라 해당 개발 업체가 공급하는 다른 서비스들에서도 악성코드가 유포될 수 있으며 실제 해당 개발 업체가 공급하는 VPN 업체의 다운로드 페이지와 해당 개발 업체의 소프트웨어 다운로드 사이트에도 악성코드가 업로드되어 있는 사례도 확인된다.
공격자는 감염 시스템을 제어할 수 있는 기능을 지원하는 SparkRAT, Sliver C2 그리고 MeshAgent 악성코드를 설치하였으며 이에 따라 공격자는 PC에 저장되어 있는 사용자의 정보들을 탈취하거나 추가 악성코드 설치와 같은 다양한 악성 행위를 수행할 수 있다.
그리고 사용자들이 홈페이지에서 악성 설치 파일을 다운로드해 설치하면 악성 설치 파일은 악성코드뿐만 아니라 기존 정상 설치 파일도 함께 설치하여 악성코드 감염 사실을 인지하기 어렵게 한다. 사용자들은 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Trojan/Win.MeshAgent.C5457071 (2023.07.18.03)
– Trojan/Win.MeshAgent.C5459839 (2023.07.24.03)
– Downloader/Win.Agent.C5459845 (2023.07.24.03)
– Downloader/Win.Agent.C5459851 (2023.07.24.03)
– Data/BIN.EncPe (2023.07.25.00)
행위 진단
– Persistence/MDP.RunKey.M1038
IOC
MD5
– e84750393483bbb32a46ca5a6a9d253c : 악성 인스톨러
– eefbc5ec539282ad47af52c81979edb3 : 악성 인스톨러 (31254396_hzczvmfw_….vpn1.1.1.exe)
– 10298c1ddae73915eb904312d2c6007d : 악성 인스톨러 (31254396_LO38iuSd_….Setup1.2.1.exe)
– b4481eef767661e9c9524d94d808dcb6 : 악성 인스톨러 (31254396_a7z34P10_….Install2.1.7.exe)
– 70257b502f6db70e0c75f03e750dca64 : 악성 인스톨러 (167775112_v17MGr85_167775039_EvimzM59_….VPNSetup1.0.4.4.exe)
– 1906bf1a2c96e49bd8eba29cf430435f : 악성 인스톨러 (167774990_A5TinsS6_….VPNInstaller1.0.4_230710.exe)
– 499f0d42d5e7e121d9a751b3aac2e3f8 : 악성 인스톨러 (31254396_ORZNvfG9_….Fax1.0.0.exe)
– b66f351c35212c7a265272d27aa09656 : 악성 VPN 프로그램
– ea20d797c0046441c8f8e76be665e882 : 악성 VPN 프로그램
– 73f83322fce3ef38b816bef8fa28d37b : 암호화된 Sliver C2 (sans.font2)
– 5eb6821057c28fd53b277bc7c6a17465 : MeshAgent (preMicrosoft.exe)
– 95dac8965620e69e51a1dbdf7ebbf53a : MeshAgent (Microsoft.exe)
– 23f72ee555afcd235c0c8639f282f3c6 : MeshAgent (registrys.exe)
– 27a24461bd082ec60596abbad23e59f2 : 웹캠 캡쳐 악성코드 (m.exe)
다운로드 주소
– hxxps://status.devq[.]workers.dev/ : 설정 데이터
– hxxps://config.v6[.]army/sans.woff2 : 암호화된 Sliver C2
C&C 주소
– panda.sect[.]kr:443 : Sliver C2
– speed.ableoil[.]net:443 : MeshAgent
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
[…] complete report has been published by AhnLab Security Emergency Response Center (ASEC) which mentions the initial […]
[…] complete report has been published by AhnLab Security Emergency Response Center (ASEC) which mentions the initial […]
[…] complete report has been published by AhnLab Security Emergency Response Center (ASEC) which mentions the initial […]
[…] complete report has been published by AhnLab Security Emergency Response Center (ASEC) which mentions the initial […]
[…] 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2 […]