전자책으로 위장하여 유포되는 AsyncRAT
1. 개요
AhnLab SEcurity intelligence Center(ASEC)은 과거 블로그에서 AsyncRAT가 다양한 확장자(.chm, .wsf, .lnk)를 통해 유포된 사례를 소개한 바 있다. [1] [2]
위에 언급한 블로그에서 공격자는 악성코드를 은폐하기위해 ‘설문 조사’ 내용의 정상 문서 파일을 미끼 파일로 활용하는 것을 확인할 수 있는데, 최근에는 전자책을 위장하여 악성코드가 유포된 사례가 확인되었다.
2. 스크립트를 기반으로 실행되는 악성코드
전자책으로 위장한 압축 파일 내부에는 압축 파일 아이콘으로 위장한 악성 LNK 파일과 악성 파워쉘 스크립트를 포함한 텍스트 파일, 동영상 확장자로 위장한 추가 압축파일, 정상 전자책 파일이 존재한다. LNK 파일에는 악성 명령어가 포함되어 있으며, 파워쉘 스크립트가 포함되어 있는 RM.TXT 파일을 읽어와 실행한다.
RM.TXT 파일은 악성 파워쉘 스크립트를 은폐하기 위해 대부분이 의미없는 문자열로 이루어져 있다. 실질적인 스크립트는 다운로더 악성코드를 포함한 폴더를 숨김 속성으로 변경하고, 난독화 된 스크립트를 실행한다.
난독화 된 스크립트는 시스템 내에 존재하는 보안 제품을 탐색하고 결과에 따라서 동영상 확장자로 위장한 압축 파일 내부 악성코드를 실행한다.
2.1. Method1
Method1 함수는 4.mkv의 압축을 해제한 뒤, “NTUSER.BAT{428f9636-1254-e23e3-ada2-03427pie23}.TM.VBS” 스크립트 파일을 실행하는 XML 파일을 “BitTorrent Certificate” 명으로 작업 스케줄 등록한다.
실행된 VBS 파일은 시스템 정보를 “WindowsLogFile.txt”에 기록하고, 배치 파일(NTUSER.BAT{428f9636-1254-ee23-ada2-080027dede23}.TM.bat)을 통해 파워쉘 스크립트를 실행한다.
실행된 파워쉘 스크립트(NTUSER.DAT{428f1209-1254-11ef-ada2-080027dede23}.TxR.1.ps1)는 난독화 된 PE파일인 blf파일(NTUSER.DAT{428f1209-1254-13ef-ada4-080027dede23}.TxR.blf, NTUSER.DAT{4280000a-1254-11ef-ada2-080007dede23}.TM.blf)을 로드하여 AsyncRAT를 실행한다.
2.2. Method2
Method2 함수는 5.mkv 압축을 해제한 뒤, 압축 파일 내부에 존재하는 VBS 스크립트를 실행하는 작업 스케줄을 ‘BitTorrent’으로 등록한다. VBS 스크립트는 배치 파일을 통해 AutoHotKey 스크립트를 실행시키며, 최종적으로 AsyncRAT을 아래 URL에서 다운로드 받아 실행한다.
2.3. Method3
Method3 함수는 8.mkv 압축을 해제한 뒤, 압축 파일 내부에 존재하는 파워쉘 스크립트를 실행하는 작업 스케줄을 ‘USER ID Converter’으로 등록한다. 파워쉘 스크립트는 RM.TXT 파일과 동일한 방식으로 난독화되어 있으며, 최종적으로 같은 경로에 존재하는 AsyncRAT을 직접 실행한다.
3. AsyncRAT
최종적으로 실행되는 악성코드는 AsyncRAT으로 AntiVM, AntiAV, 지속성 유지와 같은 기능이 존재하며, 사용자의 정보 유출을 수행한다. 또한, 공격자로부터 명령을 받아 다양한 악성행위를 수행할 수 있다.
AsyncRAT 악성코드는 과거부터 다양한 확장자와 방식으로 꾸준히 유포되어 왔으며, 정상 전자책을 위장하여 유포되는 해당 유형의 경우 피싱 메일 뿐만 아니라 자료 공유 사이트에서도 공유될 수 있는 유형이기에 사용자들의 각별한 주의가 요구된다.
[파일 진단]
– Trojan/Script.Agent.SC200228 (2024.06.25.00)
– Trojan/BAT.Agent.SC200230 (2024.06.25.00)
– Trojan/VBS.Agent.SC200225 (2024.06.25.00)
– Trojan/BAT.Agent.SC200226 (2024.06.25.00)
– Malware/Win.Generic.C5643757 (2024.06.23.03)
[IoC]
MD5
– dea45ddf6c0ae0f9f3fde1bfd53bc34f (VideoVLC_subtitles.exe)
– b8d16e9a76e9f77975a14bf4e03ac1ff (RM.TXT)
– 50005f22608e93dff1d9ed18f6be95d3 (Business Secrets from the Bible – Rabbi Daniel Lapin.LNK)
– 1ada2c6796a3486b79c5eb47fce9b19c (worldofprocure.rar)
– 21714b248ab9ca42097a7834251a7452 (NTUSER.vbs{428f9636-1254-e23e3-ada2-03427pie22}.TM.vbs)
C&C 서버
– stevenhead.ddns[.]net
다운로드 주소
– hxxps://worldofprocure[.]com/worldofprocure.rar
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
