국내 사용자들을 대상으로 유포 중인 Remcos RAT

AhnLab SEcurity intelligence Center(ASEC)은 국내 사용자들을 대상으로 Remcos RAT이 유포 중인 것을 확인하였다. 최초 유포 페이지는 알 수 없지만 VeraCrypt 설치 파일을 위장하거나 불법 도박 사이트와 관련된 프로그램과 연관된 것으로 추정된다. 

 

1. 악성코드 유포

최초로 유포된 악성코드는 다음과 같이 “블랙유저 DB조회 *****Club”이라는 이미지를 보여준다. 해당 프로그램은 C&C 서버 즉 DB에 접속해 블랙 유저를 조회하는 기능을 지원하는 것으로 보인다.

Figure 1. 유포 악성코드의 GUI 화면

해당 유형의 악성코드들은 웹 브라우저나 텔레그램을 통해 유포되었으며 다음과 같이 “*****usercon.exe” 또는 “blackusernon.exe”라는 이름이 사용되었다.

유포 이름
%USERPROFILE%\downloads\programs\*****usercon.exe
%USERPROFILE%\downloads\telegram desktop\*****usercon.exe
%USERPROFILE%\downloads\programs\blackusernon.exe

Table 1. 악성코드 유포 시 이름

참고로 GUI에서 보여지는 “*****Club”이나 파일 이름에 포함된 특정 키워드는 “블랙 리스트 사이트”와 관련이 있다. “블랙 리스트 사이트”는 사설 토토나 카지노 사이트 등에서 운영자 또는 사용자가 블랙 유저를 조회할 수 있는 기능을 제공한다. 구체적인 유포 페이지는 알 수 없지만 GUI 화면이나 유포 파일명 등을 보면 불법 도박 사이트의 운영자 또는 사용자들을 대상으로 블랙 유저 조회 기능을 제공하는 것을 미끼로 유포 중인 것으로 추정된다.

 

2. 드로퍼 악성코드 (DB 조회 프로그램 / VeraCrypt 인스톨러)

로그인은 불가하지만 보여지는 GUI 및 내부 루틴을 보면 유포 중인 악성코드는 DB 조회 기능을 지원하는 것으로 보인다. 하지만 이와 별개로 리소스에는 두 개의 VBS 악성코드가 존재하며 실행 과정에서 %TEMP% 경로에 랜덤한 이름으로 생성하고 실행한다.

Figure 2. 리소스에 포함된 VBS 악성코드

이외에도 VeraCrypt라는 유틸리티의 설치 파일을 위장한 악성코드가 확인되기도 하였다. “installer.exe”라는 이름으로 유포된 악성코드는 7z SFX로 제작되었으며 내부에 악성 VBS 스크립트를 포함한다.

Figure 3. VeraCrypt 설치 파일을 위장한 악성코드

 

3. VBS / PowerShell 다운로더 및 인젝터

공격자는 Remcos RAT을 설치하기까지 여러 단계의 VBS, 파워쉘 악성코드를 사용하였다. 각각의 악성코드들은 난독화, 더미 주석 및 더미 데이터가 추가된 형태이며 아래 사례의 경우도 JPG 파일을 위장하지만 Base64로 인코딩된 PE가 구분자 사이에 포함되어 있다.

Figure 4. 난독화된 루틴 및 더미 데이터 내부의 악성코드

단계	유형	이름
1	Installer
2	VBS 다운로더	%TEMP%[Random].vbs
3	VBS 드로퍼	XX12.JPG
4	VBS 다운로더	Config.vbs
5	VBS 다운로더	L1k9.JPG
6	파워쉘 다운로더	NMA1.JPG
7	인젝터	XIN_PHOTO.JPG
8	Remcos RAT	Aw21.JPG

Table 2. 악성코드 흐름

5단계의 스크립트 악성코드들을 지나면 닷넷으로 개발된 인젝터가 사용된다. 인젝터는 디스코드 웹훅을 이용해 공격자에게 로그를 전송하고 인자로 전달받은 주소에서 Remcos RAT을 다운로드한 후 복호화하여 “AddInProcess32.exe” 프로세스에 인젝션한다. 인젝터 악성코드의 경우 한글 메시지가 포함된 것이 특징이다.

Figure 5. 인젝터 악성코드의 루틴

 

4. Remcos RAT

Remcos는 RAT 악성코드로서 원격 지원 목적의 RAT 도구로 판매되고 있지만 원격 제어 기능을 악용할 수 있기 때문에 과거부터 많은 수의 공격자들이 공격에 사용하고 있다. 명령 실행이나 파일 및 프로세스 제어와 같은 원격 제어 기능들뿐만 아니라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어 그리고 웹 브라우저의 자격 증명 정보 추출과 같은 정보 탈취 기능들을 지원하는 것이 특징이다.

Remcos RAT은 “SETTINGS”라는 이름의 리소스에 설정 정보를 암호화하여 저장하고 있으며 복호화 시 공격자가 지정한 다양한 설정 정보들을 확인할 수 있다.

Figure 6. Remcos RAT의 설정 정보

사례	C&C 서버	이름	Mutex, 레지스트리 키
A	142.248.231[.]252:48192 (TLS)	“원격 호스트”	“증권 시세 표시기-YJ09LV”
B	142.248.231[.]251:2404 (TLS)	“RemoteHost”	“Rmc-BTQ3H5”
C	205.198.88[.]94:2255 (TLS)	“?? ???”	“?? ?? ???-3SDRQJ”

Table 3. 사용된 Remcos RAT의 설정 일부

공격에 사용된 Remcos RAT 중에는 “증권 시세 표시기”를 위장한 유형도 존재하는데 실제 뮤텍스 및 레지스트리 키에서도 한글로 작성된 문자열들을 사용한다. 또한 오프라인 키로깅이 활성화된 유형도 존재하기 때문에 “%ALLUSERSPROFILE%\remcos\” 경로에서 키로깅된 문자열들이 저장되기도 한다.

Figure 7. 레지스트리에 저장된 한글 문자열

Figure 8. 저장된 키로깅 데이터

 

5. 결론

최근 국내 사용자들을 대상으로 Remcos RAT을 유포하는 공격 사례가 확인되었다. 유포 파일명을 보면 주로 불법 도박 사이트의 운영자 또는 사용자들을 대상으로 하는 것으로 추정된다. 하지만 이외에도 VeraCrypt라는 이름의 유틸리티를 위장한 악성코드도 존재하는 것을 보면 일반 사용자들 또한 악성코드 유포 대상일 수 있다. RAT 악성코드인 Remcos는 원격 제어 기능들뿐만 아니라 키로깅, 스크린샷 캡쳐, 웹캠 및 마이크 제어 그리고 웹 브라우저의 자격 증명 정보 추출과 같은 정보 탈취 기능들을 지원하기 때문에 Remcos RAT에 감염된 사용자들은 민감한 정보들이 탈취당할 수 있다. 

 

MD5

06c71658466d1dcd067ff0f23a8c488e

0e7a97c8ecf83f26b23c394d0e06001b

12756d1d21d6656d909502f7418c106b

2530035bacbab54ce2637f81b2d218d5

2c5b7c2fa8f3cea3324ae6044c5c61bb

URL

https[:]//chaoanh[.]com/XX12[.]JPG

https[:]//chaoanh[.]xyz/Aw21[.]JPG

https[:]//chaoanh[.]xyz/L1k9[.]JPG

https[:]//chaoanh[.]xyz/NMA1[.]JPG

https[:]//chaoanh[.]xyz/XIN_PHOTO[.]JPG?13441721

IP

142[.]248[.]231[.]251

142[.]248[.]231[.]252

205[.]198[.]88[.]94