다크웹에서 판매중인 Spectre RAT 악성코드

2017년에 처음 등장한 "Spectre RAT" 악성코드는 2021년 3월경, 해커 포럼에서 판매되기 시작했다. 다크웹에 게시된 판매글에 의하면 "Spectre RAT" 악성코드는 스틸러 기능을 포함하고 있으며 이용자가 원하면 봇넷 동작을 추가할 수 있다.

 

2021년 9월경 출시되어 현재 판매중인 버전 4의 "Spectre RAT"은 최근 유럽 지역의 PC 사용자를 대상으로 한 피싱 메일 캠페인에 악용된 사례가 존재한다.

 

[그림 1] 해커 포럼에 게시된 Spectre RAT 판매글

 

"Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일로 유포되어 매크로가 실행되면 VBS 파일을 드랍한 후 실행한다. 그 후, 공격자의 C&C 서버에서 로더 파일을 다운로드한다. 다운로드된 로더는 파일 내부에 암호화된 페이로드를 복호화한 후 로더 파일의 메모리에서 실행시킨다.

 

[그림 1] Spectre RAT 악성코드 흐름도

 

Analysis

"Spectre RAT" 악성코드는 악성 매크로가 포함된 문서 파일을 통해 유포된다. 문서 파일을 실행하면 자동 실행 경로에 "windows.vbs" 파일을 드랍한 후 실행한다. 따라서 사용자가 PC를 재부팅하여도 자동으로 해당 VBS 파일이 실행된다.

 

[그림 2] 악성 문서 파일 매크로

 

드랍된 "windows.vbs" 파일은 실행 시 공격자의 C&C 서버에서 페이로드 로더인 "HbarOpportunity.exe" 파일을 다운로드한 후 실행한다.

 

[그림 3] windows.vbs 파일 코드

 

로더는 파일 내부에 암호화된 페이로드 바이너리를 갖고 있으며 해당 바이너리를 복호화한 후 메모리에서 실행시킨다. 이로 인해 "Spectre RAT" 페이로드는 파일이 존재하지 않아 백신 프로그램 탐지가 어려워진다.

 

실행된 페이로드는 [표 1]과 같은 프로세스를 종료한다. '버전 4'부터는 종료하는 프로세스 목록을 난독화했으며 해당 문자열을 디코딩하여 탐색한다.

 

[표 1] 종료 프로세스 목록

 

그 후, 사용자의 PC 정보와 인터넷 쿠키 정보를 수집한다.

 

[표 2] 수집 정보 목록

 

또한, 사용자가 입력하는 키보드 값을 수집하는 키로깅 동작을 수행한다.

 

[그림 4] 키로깅 동작 코드

 

정보 탈취 및 키로깅 동작 이후 공격자의 C&C 서버와 연결을 시도한 후 탈취한 정보 전송을 시도한다.

 

“Spe"tre RAT" 악성코드는 지속적인 버전 패치를 통해 다양한 악성 동작이 빠르게 추가되어 판매되고 있어 주의가 필요하다. 또한, 해당 악성코드의 페이로드는 파일이 존재하지 않아 탐지가 어렵고, 분석을 방해하는 동작이 포함되어 있기에 사용자는 보안에 신경 써서 감염을 예방할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.