Posted By ,

웹하드를 통해 유포 중인 Remcos Rat 악성코드

AhnLab SEcurity intelligence Center(ASEC)은 최근 국내 수집되고 있는 악성코드들의 유포지를 모니터링하던 중 Remcos Rat 악성코드가 성인 게임을 위장하여 웹하드를 통해 유포되고 있는 사실을 확인하였다. 웹하드와 토렌트는 국내 환경에서 악성코드 유포에 주로 사용되는 대표적인 플랫폼이다.

일반적으로 공격자들은 njRAT이나 UDP Rat 같이 쉽게 구할 수 있는 악성코드들을 사용하며, 게임과 같은 정상 프로그램이나 성인물을 위장하여 악성코드들을 유포한다. 이러한 사례들은 이미 아래의 ASEC 블로그와 같이 다수 소개된 바 있다.

[그림 1] 업로드된 게시글들
[그림 2] 웹하드에서 성인 게임으로 위장하여 유포 중인 악성코드

[그림 1]과 같이 다수의 게임들에 공통적인 방법으로 악성코드를 유포 중이며, 게시글 아래 항목에는 Game.exe를 실행시키라는 가이드가 함께 존재한다.

압축을 해제할 경우 Game.exe가 존재하며, 정상적인 게임 런처 처럼 보이지만 실제로는 게임을 실행시키는 dll은 따로 존재하며 악성 vbs 스크립트들을 같이 실행하게 된다.

[그림 3] 정상 Game.exe로 위장한 악성코드
[그림 4] 악성 vbs들을 실행시키는 루틴
[그림 5] www\js\plugins 폴더에 존재하는 악성 파일들

[그림 5]와 같이 www\js\plugins 폴더에 악성 vbs를 포함한 악성코드들이 존재한다. 최종적으로 실행되게 되는 것은 ffmpeg.exe 악성코드이며, 실행 되었을 때의 악성코드 감염 흐름은 [그림 6]과 같다.

[그림 6] 악성코드 감염 흐름

ffmpeg.exe를 실행하면 test.jpg에서 “sexyz” 문자열을 Split하여 암호화된 바이너리와 Key 값을 가져온 후 explorer.exe에 인젝션한다.

[그림 7] test.jpg에서 암호화된 악성코드를 파싱
[그림 8] explorer.exe 인젝션 로직

인젝션된 악성코드는 [그림 9]의 C&C 서버를 통해 Remcos Rat를 다운로드 받은 후 ServiceModelReg.exe에 인젝션하여 추가 행위를 시도한다.

[그림 9] Remcos Rat를 다운로드 받는 로직
[그림 10] Remcos Rat main

이와같이 국내 웹하드 등 자료 공유 사이트를 통해 악성코드가 활발하게 유포되고 있어 사용자의 주의가 필요하다. 자료 공유 사이트에서 다운받은 실행파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다.

[파일 진단]
Trojan/Win.Injector.R630725 (2024.01.08.02)
Trojan/Win.Injector.R630726 (2024.01.08.02)
Trojan/VBS.Runner.SC195782 (2024.01.08.02)
Trojan/VBS.Runner.SC195783 (2024.01.08.02)
Trojan/BAT.Agent.SC195781 (2024.01.08.02)
Trojan/BAT.Agent.SC195785 (2024.01.08.02)
Trojan/VBS.Runner.SC195786 (2024.01.08.02)
Trojan/VBS.Runner.SC195787 (2024.01.08.02)
Trojan/VBS.Runner.SC195784 (2024.01.08.02)

[IOC]
파일
– ffmpeg.exe : 00bfd32843a34abf0b2fb26a395ed2a4
– ffmpeg.dll : 4d04070dee9b27afc174016b3648b06c
– test.jpg : 5193669c2968980c0e88a87fd4bf61c4
– passage.vbs : 2e6796377e20a6ef4b5e85a4ebbe614d
– passage2.vbs : b05de31c9c254eea1be1dc4c5a38672c
– passage.bat : 5574647e6e64cee7986478a31eecbae0
– passage2.bat : 629c21b1eee4e65eb38809302ae029f6
– space.vbs : ee198ab059b0e180757e543ab6e02bed
– sky.vbs : 2f6768c1e17e63f67e173838348dee58
– road.vbs : 36aa180dc652faf6da2d68ec4dac8ddf

C&C 서버
– kyochonchlcken.com/share/Favela.r6map
– kyochonchlcken.com/share/1.exe
– kyochonchlcken.com/share/BankG.r6map

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.

Categories:악성코드 정보

Tagged as:,,,

5 4 votes
별점 주기
Subscribe
Notify of
guest

0 댓글
Inline Feedbacks
View all comments