최근 외신에 따르면 APT 36으로 알려진 파키스탄의 해커 그룹이 유포한 “ObliqueRAT” 악성코드의 새로운 버전이 발견되었다.
이번에 발견된 악성코드의 버전은 6.3.5 로, 기존에 발견된 5.2 버전과 다른 악성코드 감염 방식을 사용하고 있으며, 지속적인 업데이트를 통해 기능의 변화가 확인되고 있다.
버전별 차이점
“ObliqueRAT” 악성코드는 2019년 11월 5.2 버전이 발견되었으며, 이후 업데이트를 통해 6.3.5 버전이 발견되었다.
6.3.5 버전에서는 뮤텍스, 유포 방식, 안티 기법 및 명령 코드 추가 등 기존의 기능이 변화되었으며, 파일 탈취 및 파일 목록 검색 등의 기능이 추가되었다.
유포 방식
악성문서에서 “ObliqueRAT” 악성코드를 드랍하여 실행하는 방식에서, 파일을 다운로드하여 실행하는 방식으로 유포 방식이 변화되었다.
- Version 5.2
악성 문서 내부 데이터를 EXE 파일로 추출하여 실행하고 C&C 서버로 연결하여 공격자의 명령을 수행한다.
악성 문서의 매크로를 통해 Userform1의 데이터를 알파벳 "O"를 기준으로 디코딩한다. 디코딩한 데이터를 EXE 파일로 저장하여 실행한다.
- Version 6.3.5
6.3.5 버전은 해킹된 웹사이트로 연결하여 BMP 파일을 다운로드하고, 다운로드 된 BMP 파일에 데이터를 EXE 파일로 추출하여 실행한다. 실행된 악성코드는 C&C 서버로 연결하여 공격자의 명령을 수행한다.
악성 문서의 VBA 스크립트를 통해 BMP 파일을 다운로드한다
다운로드 된 BMP 파일의 데이터를 추출하여 pif 확장자 파일로 저장하고 실행한다.
안티 기법
원활한 악성 행위를 위해 분석 환경에서 실행되고 있는지 확인하고, 분석 환경에서 실행되고 있다면 악성코드 실행을 중지한다.
5.2 버전의 경우 컴퓨터 및 사용자 계정을 아래 [표 2]와 같이 해외에서 대중적으로 사용하는 이름과 비교한다.
6.3.5 버전에서는 유명인의 이름, 분석 환경과 관련된 이름 등이 비교 목록에 추가되었으며, 가상 환경 및 분석 프로그램의 실행 여부를 확인하는 항목이 추가되었다.
명령 수행 코드
"ObliqueRAT" 악성코드는 C&C 서버로 연결하고 정보 탈취, 다운로드, 스크린샷 등 공격자의 명령을 수행한다.
6.3.5 버전의 경우 22개의 명령이 존재하며, 5.2 버전에서 hb, wes, sss, pizz, plit 등 5개의 명령 코드가 추가되었다.
파일 탐색 및 탈취
6.3.5 버전에서는 파일 탐색 및 탈취 기능이 추가되었다. 감염 환경의 모든 파일을 검색하여 ‘C:\ProgramData’ 폴더에 “DirecTree.txt” 파일에 저장하고, 이동식 드라이브와 Recycled 폴더에서 TXT 파일과 Office 문서 파일을 탈취한다.
'최신 보안 동향' 카테고리의 다른 글
| 디스코드를 악용하는 악성코드 (0) | 2021.03.17 |
|---|---|
| MS Exchange Server 취약점을 악용한 사이버 공격 발견 (0) | 2021.03.16 |
| Office 악성코드 빌더 “APOMacroSploit” 발견 (0) | 2021.03.12 |
| IcedID 악성코드 (0) | 2021.03.11 |
| DoppelPaymer 랜섬웨어 피해 사례 보고서 (0) | 2021.03.11 |