RoyalRoad RTF 문서를 통해 유포된 PortDoor 악성코드

"RoyalRoad" 악성문서 빌더로 생성된 RTF 파일을 통해 "PortDoor"라는 악성코드 유포 사례가 발견되었다.

 

최근 러시아의 국립 연구 센터의 책임자를 대상으로 피싱 메일이 유포되었으며, 해당 이메일에는 "RoyalRoad”로 생성된 악성 RTF 파일이 첨부되었다. 첨부된 파일 실행 시 감염환경에서 “PortDoor” 악성코드를 실행한 뒤 C&C 서버로 연결하여 정보 탈취, 파일 실행 등 공격자의 명령을 수행한다.

 

[그림 1] RTF 파일이 첨부된 피싱 메일

 

RoyalRoad

"RoyalRoad"는 "8.t Dropper" 또는 “8.t RTF Exploit Builder”로도 불리며 Tick, Tonto 및 Persicope 등 중국의 해커 그룹이 사용하는 악성 RTF 문서 생성 도구로 알려져 있다. 해당 도구로 생성된 RTF 파일을 통해 NewCoreRAT, IceFog 및 Cotx RAT 등 다양한 악성코드를 유포하였다.

 

"RoyalRoad"로 생성된 RTF 파일은 현재 7버전까지 발견되었으며 다음 [표 1]과 같은 특징을 가진다.

 

 [표 1] RoyalRoad로 생성된 RTF 파일 특징

 

이번에 발견된 사례의 경우 "RoyalRoad"의 변종 버전으로 삽입된 개체의 이름이 "8.t"가 아닌 "e.o"라는 이름이 사용된 특이점이 확인된다.

 

[그림 2] RoyalRoad RTF의 삽입된 개체 차이

 

PortDoor

피싱 메일에는 "RoyalRoad"로 생성된 RTF 파일이 첨부되어 있으며, 해당 첨부파일을 통해 "Portdoor" 악성코드가 실행된다. 다음 [그림 3]는 "PortDoor" 악성코드가 실행되는 전체적인 흐름이다.

 

[그림 3] 실행 흐름도

 

첨부된 RTF 파일 실행 시, 삽입된 "e.o" 개체를 복호화하여 Word 프로그램 실행 시 자동실행 되도록 '사용자 폴더\AppData\Roaming\Microsoft\Word\STARTUP' 폴더에 "winlog.wll" 파일명으로 생성한다.

 

이때 생성된 "winlog.wll" 파일은 "PortDoor" 악성코드이며, 현재 실행중인 Word 프로그램에 인젝션되어 실행된다.

 

[그림 4] 드랍 파일 디코딩

 

인젝션되어 실행된 "PortDoor" 악성코드는 정상 rundll32.exe를 이용해 "DllEntry28" 인자값으로 재실행한다.

 

[그림 5] 악성코드 재실행

 

재실행된 "PortDoor" 악성코드는 C&C 서버로 연결한 뒤, 공격자의 명령을 전달받아 다음 [표 2]와 같이 PC 정보를 탈취하거나 프로세스 실행 등의 악성행위를 수행한다.

 

 [표 2] 명령 코드

 

"PortDoor"는 새롭게 발견된 악성코드로 피싱 메일을 통해 유포되었다. 최근 해당 악성코드와 같이 피싱 메일을 통해 악성코드가 유포되는 사례가 지속적으로 발견되고 있어 출처가 불분명한 메일에 첨부된 파일 실행을 지양해야 한다. 또한 이후에도 발생할 수 있는 사이버 공격에 대비하여 보안 동향에 관심을 가질 필요가 있다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면