AhnLab SEcurity intelligence Center(ASEC) 에서는 과거 “한글 워드 프로세서 크랙으로 위장하여 유포 중인 Orcus RAT” [1] 포스팅을 통해 국내 사용자들을 대상으로 RAT 및 코인 마이너를 유포하는 공격 사례를 공개한 바 있다. 공격자는 최근까지도 다운로더, 코인마이너, RAT, Proxy, AntiAV 등 다양한 악성코드들을 새롭게 제작해 유포하고 있다.
일반적으로 윈도우, 오피스 정품 인증 도구나 한글 워드 프로세서와 같은 정상 프로그램의 크랙으로 위장하여 악성코드를 유포하는 경우 국내의 많은 시스템들이 감염되는 경향이 있다. 공격자는 여기에 더해 감염 시스템에 작업 스케줄러를 등록하여 악성코드를 업데이트하고 있다. 등록된 작업 스케줄러는 파워쉘 명령을 실행해 악성코드를 설치하는 기능을 담당한다. 만약 작업 스케줄러가 치료되지 않을 경우 해당 시스템에는 지속적으로 새로운 악성코드가 설치된다.
현재 V3 제품에서는 악성코드가 설치한 작업 스케줄러를 치료하기 때문에 사용자가 크랙으로 위장한 악성코드를 설치하더라도 지속적인 악성코드 설치 문제는 발생하지 않는다. 하지만 V3를 사용하지 않는 환경에서는 이를 치료하지 못해 설치된 악성코드를 제거하더라도 시스템에 새로운 악성코드가 지속적으로 설치될 수 있다. 설치되는 악성코드들 중에는 업데이트 기능을 담당하는 유형도 있기 때문에 작업 스케줄러에 등록되는 파워쉘 명령이 지속적으로 변경되어 기존 주소가 차단되더라도 감염은 계속된다. 이에 따라 현재 국내에는 치료되지 못한 채 감염된 다수의 시스템들이 남아있으며 공격자는 이를 활용해 Proxy로 사용하거나 암호 화폐를 채굴하고 있으며 제어가 탈취당하였기 때문에 사용자의 정보들 또한 탈취당할 수 있다.
1. 공격 흐름
공격 흐름은 기존 사례와 유사하다. 최근 확인된 유포 사례에서는 MS 오피스 크랙을 위장하였으며 웹 하드나 토렌트를 통해 유포되고 있다. 과거 사례와의 차이점이라고 한다면 다운로드 주소를 구하는 과정과 악성코드를 업로드한 플랫폼이 추가되었다는 점이 있으며 이외에도 다양한 악성코드들이 새롭게 확인되었다.
2. 위장 악성코드
크랙을 위장한 악성코드는 실제 악성코드 설치 외에도 크랙을 함께 생성하여 보여주기 때문에 사용자들은 일반적인 크랙 프로그램으로 생각할 수 있다.
크랙으로 위장한 유포되는 악성코드는 닷넷으로 개발되어 있으며 최근에는 난독화된 것이 특징이다. 과거 난독화되기 이전에는 다음과 같은 형태를 갖으며 최초 실행 이후 텔레그램에 접속하여 다운로드 주소를 구하였다.
최근 유포되는 악성코드들은 2개의 텔레그램 주소와 하나의 마스토돈 주소가 포함되어 있다. 각각의 프로필에는 구글 드라이브의 주소에 사용되는 문자열이나 깃허브 주소가 포함되어 있다. 공격자는 본인의 채널에 “I prefer dangerous freedom over peaceful slavery.”라는 메시지와 연락 방법을 작성하였다.
깃허브 및 구글 드라이브에서 다운로드되는 데이터는 다음과 같이 Base64로 암호화된 문자열이다. 해당 문자열들을 복호화하면 파워쉘 명령이 확인되는데 결국 다양한 악성코드들을 설치하는 기능을 담당한다.
3. 악성코드 분석
3.1. Updater
악성코드의 특징들 중 하나는 설치 과정에서 “C:\ProgramData\KB5026372.exe” 경로에 파워쉘 프로그램을 복사하여 사용하며, 깃허브 및 구글 드라이브에 업로드된 압축 파일을 다운로드해 “C:\ProgramData\Google\7z.exe” 경로에 설치한 7zip 프로그램으로 압축 해제한다는 점이다. 이러한 방식은 이전 블로그 사례와 동일하며 암호가 설정된 압축 파일의 비밀번호도 과거부터 지금까지 “x”이다.
악성코드를 다운로드하고 지속성을 유지하는 기능은 “software_reporter_tool.exe”라는 이름으로 설치되는 Updater 악성코드가 담당한다. 해당 악성코드는 이외에도 작업 스케줄러를 등록하여 재부팅 이후에도 지속적으로 동작할 수 있도록 한다. 등록된 파워쉘은 Updater 악성코드를 다시 업데이트하고 추가 악성코드를 설치하는 기능을 담당한다.
3.2. 설치되는 악성코드들
과거 사례에서 공격자는 V3 제품의 설치 여부에 따라 Orcus RAT과 XMRig 둘 중 하나를 선택해 설치하였다. 추가적으로 설치되는 6개 유형의 악성코드들 중 Updater, XMRig 그리고 Orcus RAT은 과거 사례와 유사하다.
Orcus RAT은 시스템 정보 수집, 파일 / 레지스트리 / 프로세스 작업, 명령 실행과 같은 기본적인 원격 제어 기능뿐만 아니라 키로깅 및 웹캠을 이용한 정보 탈취 기능을 제공한다. 이외에도 HVNC, RDP를 통한 화면 제어 기능도 지원하기 때문에 공격자는 이를 이용해 감염 시스템을 제어하고 정보를 탈취할 수 있다.
공격에 사용된 XMRig 또한 이전 사례와 유사한 옵션을 지원한다. “stealth-targets” 옵션은 지정한 프로세스가 실행 중인 경우 마이닝을 중지하는 기능인데 공격자는 게임이나 하드웨어 모니터링 유틸리티, 그래픽 관련 업무용 프로그램같이 시스템의 자원을 많이 소모하는 프로그램이 실행 중인 경우 마이닝을 중지하도록 설정하였다. “kill-targets” 옵션은 지정한 이름으로 실행 중인 프로세스를 종료하는 옵션으로서 각종 보안 프로그램의 설치 프로그램이나 시스템 자원을 소모하는 그리드 프로그램들이 대상이 되었다.
| { “algo”: “rx/0”, “pool”: “minecraftrpgserver[.]com”, “port”: 27037, “wallet”: “ZEPHs9eCMMza6HRoytdTWnUBP28xnRMhUK7z6smekMurCVVS57GPfqK5uewE7cgiqn4jBoJbi9teC9e6fraJaQoL2UhTMXNB1vs”, “password”: “”, “nicehash”: false, “ssltls”: true, “max-cpu”: 20, “idle-wait”: 5, “idle-cpu”: 80, “stealth-targets”: “MSIAfterburner.exe,HWiNFO32.exe,HWiNFO64.exe,HWMonitor_x32.exe,HWMonitor_x64.exe,HWMonitorPro_x32.exe,HWMonitorPro_x64.exe,NZXT CAM.exe,speedfan.exe,Core Temp.exe,OpenHardwareMonitor.exe,OCCT.exe,FurMark.exe,TslGame.exe,TslGame_SE.exe,GTA5.exe,GTA6.exe,fifazf.exe,fifa4zf.exe,fifa5zf.exe,FIFA21.exe,FIFA22.exe,FIFA23.exe,FIFA24.exe,FIFA25.exe,League of Legends.exe,LOSTARK.exe,VALORANT.exe,Overwatch.exe,suddenattack.exe,javaw.exe,SC2.exe,SC2_x64.exe,DNF.exe,BlackDesert64.exe,BNSR.exe,ProjectLH.exe,Wow.exe,AfterFX.exe,AFCStudio2.exe,cod.exe,RobloxPlayerBeta.exe,RobloxPlayer.exe,KartDrift-Win64-Shipping.exe,Adobe Premiere Pro.exe,EternalReturn.exe,destiny2.exe,blender.exe,Photoshop.exe,acad.exe,Diablo IV.exe,Cyphers.exe,r5apex.exe,dota2.exe,GameOverlayUI.exe,EOSOverlayRenderer-Win64-Shipping.exe,EpicOnlineServicesUserHelper.exe,obs64.exe,Lineage2M.exe,Q7-Win64-Shipping.exe,rojectN-Win64-Shipping.exe,ProjectER-Win64-Shipping.exe,DW9.exe,XSplit.Core.exe,XSplitVCam.exe,fczf.exe”, “kill-targets”: “V3Lite_Setup.exe,V3Lite_Setup (1).exe,V3Lite_Setup (2).exe,openssl.exe,natsvc.exe,smmgr.exe,v_service.exe,v_member.exe,akdanhall-installer-build-433.msi,akdanhall-installer-build-433 (1).msi,akdanhall-installer-build-433 (2).msi”, “stealth-fullscreen”: false } |
3Proxy는 프록시 서버 기능이 구현된 오픈 소스 도구로서 악성코드는 3306 포트를 방화벽 규칙에 추가하고 정상 프로세스에 3Proxy를 인젝션한다. 인젝션되어 실행되는 3Proxy는 3306 포트를 오픈하는데 이에 따라 공격자는 감염 시스템을 프록시로 사용할 수 있다.
이외에도 외부에서 추가 페이로드를 다운로드하여 실행할 수 있는 PureCrypter와 보안 제품을 방해하는 AntiAV 악성코드가 있다. 악성코드는 특정 보안 프로그램이 실행될 때 설치 폴더 내의 구성 파일을 지속적으로 수정하는 방식으로 정상적인 실행을 막는다.
4. 결론
현재 국내 사용자들을 대상으로 크랙을 위장한 악성코드 유포 사례가 지속되고 있다. 공격자는 윈도우, MS 오피스 그리고 한글 워드 프로세서의 크랙을 위장하여 악성코드를 유포하였으며 이에 따라 국내의 많은 사용자들이 공격 대상이 되었다. 또한 지속성 유지를 위해 작업 스케줄러에 악성코드 설치 명령을 등록함에 따라 작업 스케줄러를 제거하지 못한 시스템에서는 지속적으로 악성코드가 설치되고 있다.
공격자는 파일 진단을 우회하기 위해 한 주에 수차례 이상 새로운 악성코드를 유포하고 있으며 이는 최근까지도 지속되고 있다. 이에 따라 과거 시점의 악성코드가 제거되었다고 하더라도 등록된 작업 스케줄러가 새로운 악성코드를 주기적으로 설치함에 따라 감염된 시스템은 지속적으로 늘어나고 있다.
자료 공유 사이트에서 다운로드한 실행 파일은 각별히 주의해야 하며, 유틸리티 및 게임 등의 프로그램은 반드시 공식 홈페이지에서 다운로드하는 것을 권장한다. 또한 V3 제품을 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단해야 한다. 이미 감염된 시스템의 경우 V3 제품을 설치하여 작업 스케줄러를 치료하여 지속적인 악성코드 감염을 막을 수 있다.
파일 진단
– Downloader/JOB.Generic.S2560 (2024.02.02.02)
– Downloader/Win.Agent.C5590498 (2024.02.19.03)
– Downloader/Win.Agent.C5602420 (2024.03.20.00)
– Downloader/Win.Agent.C5609953 (2024.04.08.02)
– Downloader/Win.Agent.C5613148 (2024.04.16.00)
– Downloader/Win.Agent.C5619970 (2024.05.09.02)
– Backdoor/Win.Orcusrat.C5619968 (2024.05.09.02)
– Trojan/Win.AntiAV.C5619969 (2024.05.09.02)
– Dropper/Win.3Proxy.C5619967 (2024.05.09.02)
– Trojan/Win.3Proxy.C5619966 (2024.05.09.02)
– Downloader/Win.PureCrypter.C5619963 (2024.05.09.02)
– CoinMiner/Win.XMRig.C5616159 (2024.04.25.02)
– CoinMiner/Win.XMRig.C5613170 (2024.04.16.00
– Data/BIN.EncPe (2024.04.16.00)
행위 진단
– Infostealer/MDP.Behavior.M1965
– DevenseEvasion/MDP.AntiVM.M3090
– Malware/MDP.Behavior.M3108
– Behavior/MDP.Create.M4591
– Execution/MDP.Event.M4832
IoC
MD5
– 77a5bd4e03fc9a653b4e8c33996d19a0 : 크랙 위장 악성코드 (oinstall.exe)
– 3a4d761de4fac0c2e47a5c84fca78c0f : Downloader (software_reporter_tool.exe)
– 5dd8cdd4e80185b60d43511987b254cd : Downloader (software_reporter_tool.exe)
– 6a648b7d0e4ae16f6beb170decd5b0b6 : Downloader (software_reporter_tool.exe)
– 08299a45472f501644b4daa458336428 : Downloader (software_reporter_tool.exe)
– 27623130a8e8b792fc99cbdcecee3177 : 3Proxy – Dropper (dwm.exe)
– abdbfe7b8f4976935b87a0a0e67d1da0 : 3Proxy (dwm.exe)
– 93899d3008af9df6b7d261445b3e8f59 : Orcus RAT (dwm.exe)
– 151cd4702bc15421c24fd5930f119a48 : PureCrypter (dwm.exe)
– d00feba624fa6fdcbad1b1219f3f2da7 : AntiAV (dwm.exe)
– 1b5393ac3eceda9b16836039f7d04c5e : XMRig (InstallUtil.exe)
– c9cdc0c746fa9095bd87b455f8f9c3c8 : XMRig – encoded
– f836a133490929ea0185d50e10bd11c0 : XMRig – decoded
C&C
– minecraftrpgserver[.]com:80 : PureCrypter
– minecraftrpgserver[.]com:27036 : Orcus RAT
– minecraftrpgserver[.]com:27037 : XMRig
Download 주소
– hxxps://t[.]me/dRidulEDhRQYNREkN : 크랙 위장 악성코드
– hxxps://t[.]me/IXvMGsiyPuHoPSSiD : 크랙 위장 악성코드
– hxxps://mastodon[.]social/@dRidulEDhRQYNREkN : 크랙 위장 악성코드
– hxxps://drive.usercontent.google[.]com/download?id=1kFPqJkzWKIIQzC3b0b6nunctXKHPeJNi&export=download : Base64로 암호화된 파워쉘 명령들
– hxxps://drive.usercontent.google[.]com/download?id=1SFoSCa4PhCsR7ACj8HUIfrU7L1i8YwiR&export=download : Base64로 암호화된 파워쉘 명령들
– hxxps://gist.github[.]com/thamanarya/6510d9e6b96adfea6b9422a3fd22ef82/raw/Power : Base64로 암호화된 파워쉘 명령들
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보
앞으로 ICT 분야에 기대됩니다!
그래서 저 행위가 일어난 파일을 삭제해야한단건가요?