아랍어 기반 공격자에 의한 ViperSoftX 악성코드 유포 정황
AhnLab SEcurity intelligence Center(ASEC)은 아랍어를 사용하는 것으로 추정되는 공격자가 2025년 4월 1일 부터 최근까지 국내 대상으로 다수의 ViperSoftX 악성코드를 유포하는 정황을 확인하였다. ViperSoftX 악성코드는 주로 정상 소프트웨어 크랙 프로그램이나 토렌트로 유포되는 악성코드이다. ViperSoftX의 주요 특징은 파워쉘(PowerShell) 스크립트로 동작하며 C&C 통신 과정에서 URI 경로에 “/api/”, “/api/v1”, “/api/v2”, “/api/v3/”와 같은 파라미터 정보를 포함하고 C&C 이후에 추가 악성코드를 다운로드하는 것이 특징이다. 특히 이번 악성코드 유포 사례에서는 ViperSoftX의 최초 유포 방식은 확인되지 않았으나, C&C 통신에 사용된 파워쉘 및 VBS 코드에 아랍어 주석이 포함되어 있어 유포자가 아랍어를 사용하는 것으로 추정된다.
자사 ASD(AhnLab Smart Defense) 인프라에 따르면 ViperSoftX에서 추가 다운로드된 악성코드에는 VBS 다운로더, 악성 파워쉘 스크립트, PureCrypter(닷넷 다운로더 악성코드), Quasar RAT이 확인되었다. 아래는 ViperSoftX의 C&C 통신 과정에서 확인된 악성코드에 대한 정보이다.
1. VBS 다운로더 (파일명 : vbs.vbs)
ViperSoftX는 공격자의 C&C 서버로부터 PowerShell 스크립트 및 해당 스크립트를 실행하는 VBS 파일을 다운로드한 후 VBS 파일을 실행한다.
|
VBS 다운로더 기능 |
| 1. 원격 서버에서 파워쉘, VBS 파일 다운로드 |
| 2. C:\ProgramData\SystemLoader 폴더 생성 (없을 경우) |
| 3. run.vbs 파일이 존재하면 run.vbs 실행 |
[표 1] VBS 다운로더 기능
[아랍어 주석 정보]
- ‘ تحميل a.ps1 → a.ps1 다운로드
- ‘ تحميل run.vbs → run.vbs 다운로드
- ‘ تشغيل run.vbs إذا كان موجود → run.vbs가 존재하면 실행
[그림 1] VBS 다운로더
2. run.vbs
해당 VBS 파일은 다음 명령을 통해 a.ps1을 실행한다:
- powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File a.ps1
[그림 2] VBS Runner (run.vbs)
3. 파워쉘 다운로더 (파일명 : a.ps1)
이 파워쉘 스크립트는 PureCrypter 및 Quasar RAT을 다운로드하고 실행하며, 탐지를 우회하기 위해 Windows Defender 예외 경로를 추가한다. 또한, 관리자 권한으로 실행되도록 설계되어 이후 실행되는 악성코드도 관리자 권한을 획득하게 된다. 결과적으로 해당 스크립트의 기능은 관리자 권한을 확보 및 보안 소프트웨어를 우회하여 원격에서 다운로드한 악성코드를 실행하는 역할을 수행한다.
|
파워쉘 다운로더 기능 |
| 1. 관리자 권한 확인 및 아닐 경우 관리자 권한으로 재 실행 |
| 2. 에러와 진행 표시를 표시하지 않도록 처리 |
| 3. TLS 1.2 프로토콜 사용 및 서버 인증서 검증을 우회하여 모든 인증서를 신뢰하도록 수행 |
| 4. 윈도우 디펜더 예외 경로 추가 (C:\, D:\ ) |
| 5. C:\ProgramData\NVIDIA.exe 경로에 파일 생성 및 실행 |
[표 2] 파워쉘 다운로더 기능
[아랍어 주석 정보}
- تأكد من تشغيل السكربت كـ Administrator، لو مش كده يعيد تشغيل نفسه كأدمن → 스크립트를 관리자 권한으로 실행 중인지 확인. 그렇지 않으면 관리자 권한으로 재실행.
- إعدادات عامة → 일반 설정
- تأخير بسيط → 잠시 대기
- إضافة استثناءات لـ Windows Defender مباشرة → Windows Defender에 예외 경로 추가
- تأخير تاني → 다시 대기
- تحميل وتشغيل الملف بصمت → 파일을 조용히 다운로드하고 실행
- حذف الملف القديم لو موجود → 기존 파일이 있으면 삭제
- طريقة التحميل الأولى → 첫 번째 다운로드 방식
[그림 3] 파워쉘 스크립트 코드
[파워쉘에 의해 다운로드된 악성코드 정보]
1. PureCrypter
PureCrypter [1] 는 2021년부터 판매되고 있는 상용 닷넷 패커 악성코드로, 다양한 초기 감염 벡터(다운로더, VBA 매크로, 로더), 인젝션 방식, 대상 설정, 그리고 탐지 회피(Anti) 기법 등을 지원한다. 이번 공격에서는 PureCrypter가 다운로더로 사용되었다. PureCrypter의 주요 특징으로 네트워크 통신을 위해 protobuf 라이브러리를 사용하는 것이다. 이를 통해 공격자는 C&C 서버와 통신할 때 명령어나 상태 정보 등을 미리 정의된 메시지 구조로 직렬화하여 전송할 수 있다.
[그림 4] PureCrypter의 ProtoBuf 네임스페이스
[그림 5] PureCrypter의 C&C 통신 과정에서의 CallStak (ProtoBuf 클래스 사용)
[발견된 파일 경로]
- %ALLUSERSPROFILE%\nvidia.exe
- %ALLUSERSPROFILE%\teamviewer.exe
- %ALLUSERSPROFILE%\temp.exe
- %ALLUSERSPROFILE%\words.exe
[C&C 주소]
- 89.117.79[.]31:56005
- 89.117.79[.]31:56004
- 89.117.79[.]31:56003
- 65.109.29[.]234:7702
2. Quasar RAT
Quasar RAT은 닷넷(.NET) 기반의 오픈 소스 원격 제어 도구(RAT)로, 키로깅, 원격 명령 실행, 파일 업로드/다운로드 등의 기능을 제공한다. 공격자는 해당 RAT을 활용해 감염 시스템을 원격에서 제어하려 한 것으로 추정된다.
[그림 6] 확인된 Quasar RAT의 네임스페이스 (xClient 관련)
[발견된 파일 경로]
- %ALLUSERSPROFILE%\winrar.exe
- %ALLUSERSPROFILE%\micro.exe
[C&C 주소]
- 65.109.29.234
이번 분석을 통해 AhnLab Security Intelligence Center(ASEC)은 아랍어를 사용하는 공격자가 2025년 4월 1일부터 최근까지 국내의 불특정 다수를 대상으로 ViperSoftX 악성코드를 유포하고 있음을 확인하였다. 지금까지 확인된 ViperSoftX에 의해 설치된 악성코드는 PureCrypter, Quasar RAT이였지만 다른 악성코드도 함께 설치될 가능성이 존재한다. 이에 따라 ASEC은 지속적으로 관련 유형의 악성코드에 대해 모니터링 및 대응하고 있다. 사용자는 이러한 악성코드의 감염 예방을 위해서 불법 크랙 프로그램이나 토렌트 사이트에서 소프트웨어를 다운로드하지 않고, 반드시 공식 배포처나 정품 소프트웨어를 사용해야 한다. 그리고 안티 바이러스 보안 제품의 최신 패치를 유지하여야 한다.
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
