RAT로 윈도우 PC를 감염시키는 새로운 JavaScript 악성 프로그램

RATDispenser라고 불리는 새로운 JavaScript 로더가 피싱 공격을 통해 다양한 원격 액세스 트로이목마(RAT)로 기기를 감염시키는 데에 사용되고 있습니다.  RATDispenser는 정보를 훔치고 타깃 기기에 대해 공격자들이 제어할 수 있도록 설계된 최소 8개의 악성코드 패밀리와 빠르게 배포 파트너쉽을 구축하였습니다.

 

HP Threat Research 팀이 분석한 사례의 94%에서 RATDispenser는 공격자의 제어 서버와 통신하지 않고, 1단계 악성코드 드롭퍼로만 사용됩니다.  Microsoft Office 문서를 사용하여 페이로드를 드롭하는 추세와 달리, RATDispenser는 안티 바이러스에서 탐지율이 낮은 JavaScript 첨부 파일을 사용합니다.

 

감염 체인

감염은 이중 확장자인 ‘.TXT.js’를 사용하는 악성 JavaScript 첨부 파일이 포함된 피싱 이메일에서 시작됩니다. 윈도우에서 기본적으로 확장자를 숨기기 때문에, 수신자가 컴퓨터에 파일을 저장하면 해당 파일은 무해한 텍스트 파일로 표시됩니다.

[그림 1] RATDispenser 파일을 첨부한 피싱 이메일 (출처 : HP)

 

텍스트 파일은 안티 바이러스에 의한 탐지를 우회하기 위해 난독화되어 있으며, 파일을 더블클릭하여 실행하면 디코딩됩니다.

[그림 2] 난독화된 JavaScript 다운로더의 코드 일부 (출처 : HP)

 

로더가 실행되면 %TEMP% 폴더에 VBScript 파일을 쓰고, 해당 파일을 실행하여 악성코드(RAT) 페이로드를 다운로드합니다.

[그림 3] 난독화가 해제되어 cmd.exe에 전달된 명령줄 인수 (출처 : HP)

 

VirusTotal 검색 결과에 따르면, 악성코드는 난독화 계층을 통해 89%의 탐지 회피율을 달성하였습니다.

 

HP 보고서에 따르면, 아래와 같이 설명하였습니다.  “JavaScript는 Microsoft Office 문서나 압축 파일에 비해 비교적 덜 흔한 악성 프로그램 파일 형식이지만, 대부분의 경우 더 잘 탐지되지 않습니다. 155개의 RATDispenser 샘플 세트 중에서 77개가 VirusTotal에서 발견되어 탐지율을 분석할 수 있었습니다.” 그러나 .js, .exe, .bat, .com 파일과 같은 실행 가능한 첨부 파일 차단을 활성화한 경우, 이메일 게이트웨이는 로더를 탐지할 수 있습니다. 감염에 대비하기 위한 또 다른 방법은 JS 파일의 기본 파일 처리기를 변경하거나, 디지털 서명된 스크립트만 실행하도록 허용하거나, WSH(Windows 스크립트 호스트)를 사용하지 않도록 설정하는 것입니다.

악성코드 드롭

HP의 연구원들은 지난 3개월 동안 RATDispenser로부터 8개의 다른 악성코드 페이로드를 수집하였습니다. 발견된 악성코드는 STRRAT, WSHRAT, AdWind, Formbook, Remcos, Panda Stealer, GuLoader, Ratty입니다.  분석된 샘플 155개 중 10개에서 로더는 2단계 악성코드를 가져오기 위해 C2 통신을 설정했습니다.

 

[그림 4] RATDispenser의 악성코드 로드 프로세스 (출처 : HP)

 

악성코드 드롭 사례의 81%에서 RATDispenser는 강력한 크리덴셜 탈취 및 키로거인 STRRAT와 WSHRAT를 배포합니다. Panda Stealer와 Formbook은 드롭되는 대신에 항상 다운로드되는 유일한 두 개의 페이로드입니다.

[그림 5] RATDispenser에서 배포하는 악성코드 (출처 : HP)

 

전반적으로 RATDispenser는 다목적 로더 역할을 하는 오래된 악성 프로그램과 새로운 악성 프로그램의 배포를 모두 수용하는 것으로 보입니다.

IOCs

[ URL ]

Panda Stealer	hxxps://paste[.]ee/r/ZnmM9 hxxps://paste[.]ee/r/R1fSl hxxps://paste[.]ee/r/jeSec hxxps://paste[.]ee/r/hRcus hxxps://paste[.]ee/r/O6bFN hxxps://paste[.]ee/r/Kcxxm
Formbook	hxxp://195[.]133[.]40[.]98/files/new[.]exe hxxp://185[.]219[.]133[.]122/svc[.]exe hxxp://185[.]219[.]133[.]122/task[.]exe hxxp://103[.]141[.]138[.]12/host[.]exe hxxp://185[.]219[.]133[.]122/xamp/wa[.]exe

 

출처 :

https://www.bleepingcomputer.com/news/security/stealthy-new-javascript-malware-infects-windows-pcs-with-rats/
https://threatresearch.ext.hp.com/javascript-malware-dispensing-rats-into-the-wild/#
https://github.com/hpthreatresearch

 

MIR Team