RemcosRAT, 스테가노그래피 기법을 이용하여 유포중

AhnLab SEcurity intelligence Center(ASEC)은 최근 RemcosRAT가 스테가노그래피 기법을 이용하여 유포 중인 것을 확인했다. 시작은 Template Injection기법을 사용한 Word문서를 시작으로 수식 편집기(EQNEDT32.EXE)취약점을 사용하는 RTF를 다운로드하여 실행한다.

[그림 1] External LNK가 포함된 Word    RTF는 C2에서 “.jpg”확장자를 가진 VBScript를 다운로드하고 텍스트를 무료로 업로드해 주는 “Pastebin”과  유사한 서비스인 “paste.ee”에서 추가 VBScript를 다운로드한다.

[그림 2] RTF가 다운로드한 VBScript    다운로드된 VBScript는 여러 특수문자로 난독화되어 있으며 Replace를 통해 최종적으로 PowerShell Script를 실행한다.

[그림 3] 난독화된 Script(eh1G4)    해당 PowerShell Script는 외부에 업로드된 이미지를 다운로드하는데, 해당 이미지는 “JPG” 파일의 끝(Footer)을 의미하는 코드 “FF D9” 뒤에  BASE64 인코딩 데이터가 포함되어 있으며 <<BASE64 START>>” 와 “BASE64_END” 문자열 사이의 데이터를 가져와서 BASE64 디코딩 한다. 디코딩된 데이터는  “.NET DLL”이며 6개의 인자를 주어 Reflection Load를 통해 실행한다.

[그림 4] 스테가노그래피 이미지를 다운로드하는 PowerShell Script 

[그림 5] 정상 이미지 파일에 포함된 BASE64 인코딩 데이터    인자로 전달받은 C2에서 추가 파일을 다운로드하며 RegAsm.exe를 자식 프로세스로 생성하고 Process Hollowing을 통해 실행한다. 최종적으로 실행되는 프로세스는 RemcosRAT이다.

[그림 6] Process Hollowing을 통해 실행되는 RemcosRAT  Remcos RAT는 스팸 메일, 크랙 소프트웨어 다운로드 등 여러 방면으로 유포하기 때문에 사용자는 각별한 주의가 필요하며 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다.   파일진단 Downloader/VBS.Agent.SC199181 (2024.04.19.00) Data/BIN.Encoded (2024.04.18.03) Downloader/VBS.Agent.SC198254 (2024.03.19.03) RTF/Malform-A.Gen (2024.03.19.01) 행위 진단 Execution/MDP.Powershell.M2514 Reference 1) https://www.cyfirma.com/research/exploiting-document-templates-stego-campaign-deploying-remcos-rat-and-agent-tesla/   

AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.