Notion 설치 프로그램을 위장해 유포 중인 SectopRAT (ArechClient2)
Notion은 프로젝트 관리 및 기록 기능을 제공하는 협업 도구로서 세계적으로 많은 수의 사용자들을 가지고 있다. 이렇게 유명한 프로그램들은 많은 공격자들의 악용 대상이 되기도 하는데 정상 프로그램으로 위장한 웹 페이지를 제작하고 대신 악성코드를 업로드하는 방식을 사용할 수 있기 때문이다.
이에 따라 사용자들이 구글 같은 검색 엔진에서 이를 다운로드할 때 실제로는 악성코드를 다운로드할 수 있다. 실제 과거 AhnLab SEcurity intelligence Center (ASEC)에서도 “Notion 설치파일로 위장한 MSIX 악성코드 유포” 블로그를 통해 Notion을 위장하여 LummaC2를 설치하는 사례를 공개하기도 하였다.
1. Notion 설치 파일 위장
ASEC에서는 최근 Notion을 위장한 또 다른 공격 사례를 확인하였으며 이번에 확인된 사례에서는 LummaC2 외에 SectopRAT 악성코드가 유포되기도 하였다. 현재 다운로드 페이지는 접속이 불가하지만 악성코드는 “hxxps://notlon[.]be/Notion 4.3.4.exe” 주소에서 다운로드되었다. 단순하게 보면 주소에 “notion” 문자열이 포함된 것 같지만 공격자는 “I”가 아닌 “l”을 사용하여 사용자들로 하여금 정상적인 notion 홈페이지 것으로 인지하도록 위장하였다.
악성코드는 내부에 Notion뿐만 아니라 다운로더 기능을 담당하는 DLL을 포함하고 있다. 설치 파일이 실행되면 다른 파일들과 함께 악성 DLL이 설치된 후 설치 프로그램에 로드되어 동작하는데 C&C 서버에 접속하여 추가 페이로드를 다운로드하는 기능을 담당한다.
Figure 1. 다운로더 기능을 담당하는 DLL
이를 이용해 설치되는 악성코드들은 대부분 “decrypted.exe”라는 이름으로 설치되며 초기에는 인포스틸러 악성코드인 LummaC2가 대부분을 차지하였다. 하지만 최근에는 LummaC2 대신 SectopRAT이 설치된 사례가 확인되었다.
Figure 2. 프로세스 트리
2. SectopRAT
SectopRAT은 ArechClient2라고도 불리며 C&C 서버로부터 명령을 전달받아 악성 행위를 수행할 수 있는 RAT 악성코드이지만 감염 시스템의 정보를 탈취하는 기능이 함께 포함되어 있다.
Figure 3. SectopRAT의 설정 데이터
SectopRAT의 특징 중 하나는 RedLine과 유사한 루틴이 확인된다는 점이다. RedLine은 인포스틸러 악성코드로서 감염 시스템에서 사용자의 웹 브라우저, FTP, VPN, Telegram, Discord, 스크린 캡쳐, 사용자 파일 등 다수의 정보를 탈취한다. 이외에도 C&C 서버로부터 전달된 명령을 실행하는 기능 또한 포함되어 있다. 즉 SectopRAT과 RedLine은 원격 제어나 정보 탈취 등 실질적으로 유사한 악성코드이며 작성 과정에서도 동일한 코드가 사용되었다.
Figure 4. RedLine과 유사한 루틴
SectopRAT 또한 웹 브라우저에 저장된 비밀번호나 쿠키, AutoFill 데이터를 탈취하며 가상 화폐의 지갑 파일 또한 그 대상이 된다. 그리고 C&C 서버와 통신하며 전달받은 명령을 수행할 수 있다.
Figure 5. C&C 서버와의 통신
3. 결론
최근 Notion과 같이 유명한 소프트웨어를 위장하여 악성코드를 유포하는 사례가 늘어나고 있다. 공격자들은 정보 탈취 및 원격 제어 기능을 포함한 악성코드를 설치하여 감염 시스템에서 사용자의 정보를 탈취하고 제어를 탈취할 수 있다. 사용자들은 검색 엔진을 통해 다운로드 시 해당 웹 페이지가 실제 공식 홈페이지인지 확인해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
