UUE(UUEncoding) 파일로 유포되는 Remcos RAT

AhnLab SEcurity intelligence Center(ASEC)에서는 Power Archiver로 압축한 UUE(UUEncoding)파일을 통해 Remocs RAT 악성코드가 유포되는 정확을 확인하였다.

아래는 Remcos RAT 악성코드 다운로더를 유포하는 피싱 메일이다. 피싱 메일은 수출입 선적 관련 메일이나 견적서로 위장하여 유포되므로 수신자의 주의가 필요하다.

1. UUEncoding

공격자는 첨부 파일을 통해 UUEncoding 방식으로 인코딩된 VBS 스크립트 파일을 유포한다. UUEncoding 방식은 Unix-to-Unix Encode의 약자로 Unix 간 데이터 교환을 위해 사용되었으며, 이진 데이터를 ASCII 텍스트 형식으로 인코딩하는 방식이다.

UUE(UUEncoding)파일의 구조는 헤더(begin), 인코딩된 데이터, 끝(end)로 구성되며, 공격자는 UUEncoding을 통해 탐지 우회를 시도한 것으로 추정된다. 해당 파일을 디코딩하면, [그림 3]과 같이 난독화된 VBS 스크립트가 확인된다.

2. Downloader

VBS 스크립트는 %Temp% 경로에 파워쉘 스크립트를 Talehmmedes.txt 파일명으로 저장하여 실행한다. 실행된 파워쉘 스크립트는 hxxp://194.59.30[.]90/Isocarbostyril.u32에 접근하여 %AppData% 경로에 Haartoppens.Eft을 다운로드하고, 추가 파워쉘 스크립트를 실행한다.

실행되는 추가 파워쉘 스크립트 역시 분석 방해를 위해 난독화 되어 있음을 확인할 수 있는데, 주요 기능은 wab.exe 프로세스에 쉘코드를 로드한다.

쉘코드는 지속성 유지를 위한 레지스트리를 등록하며, hxxp://194.59.30[.]90/mtzDpHLetMLypaaA173.bin에 접속하여 추가 데이터를 로드한다. 최종적으로 실행되는 악성코드는 Remcos RAT이다.

3. Remcos RAT

해당 악성코드는 hxxp://geoplugin[.]net/json.gp을 통해 시스템 정보를 수집하고, %Appdata%경로에 mifvghs.dat 파일명으로 키로깅 데이터를 저장하여 C&C 서버로 전송한다.

사용자들은 출처가 불분명한 메일의 첨부파일 실행을 자제하고, 만약 첨부파일을 다운로드 받았을 경우에는 매크로 실행(허용)을 지양해야한다. 문서 프로그램의 보안 설정이 낮은 경우에는 별도의 경고문구 없이 바로 매크로가 실행되기 때문에, 사용자는 보안 설정을 높음 수준으로 유지하여 의도치 않은 기능이 실행되지 않도록 주의가 필요하다.

또한, 사용하고 있는 안티바이러스 제품의 엔진 패턴 버전을 최신으로 업데이트하여 사용할 것을 권장한다.

안랩 V3 제품군에서는 본문에서 소개한 유형의 악성 파일들에 대해 아래와 같이 진단하고 있다.

[파일 진단]

Downloader/VBS.Agent (2024.05.17.01)
Data/BIN.Encoded (2024.05.24.00)

MD5

7e6ca4b3c4d1158f5e92f55fa9742601

b066e5f4a0f2809924becfffa62ddd3b

eaec85388bfaa2cffbfeae5a497124f0

fd14369743f0ccd3feaacca94d29a2b1