인도의 군사 및 외교 분야를 대상으로 공격하는 Crimson RAT

최근, 인도의 군사 및 외교 분야를 대상으로 공격하는 캠페인이 발견됐다. 해당 캠페인은 악성 문서를 첨부한 피싱 메일을 보내 메일 수신자의 실행을 유도한 후, 최종적으로 “Crimson RAT” 악성코드를 실행해 정보를 탈취하거나 PC를 조작한다.

 

“Crimson RAT” 악성코드의 유포 및 실행 과정은 [그림 1]과 같이 진행한다.

 

[그림 1] Crimson RAT 악성코드 유포 및 실행 흐름도

 

1. 공격자는 악성파일을 첨부한 메일을 사용자에게 보내 첨부 파일의 다운로드를 유도한다.

2. 사용자가 메일에서 다운로드한 파일을 실행하면 문서 내부의 매크로가 동작해 지정된 경로에 Hbraeiwas.exe를 드롭 및 실행한다.

3. 이전 단계에서 실행한 파일은 압축 파일 형태의 리소스를 읽어 mdkhm.zip이란 이름으로 저장한다.

4. 이후, mdkhm.zip 파일의 압축을 해제해 “Crimson RAT” 악성코드인 Dlrarhsiva.exe 파일을 생성 및 실행한다.

5. “Crimson RAT” 악성코드는 공격자의 C&C 서버와 지속적인 통신을 시도한다.

 

1.  악성코드 유포

공격자는 사용자에게 피싱 메일을 보내 첨부파일의 실행을 유도한다. 메일에 첨부된 파일은 XLAM 형태이며, [그림 2]와 같이 코로나 19 관련 내용이 작성됐다.

 

[그림 2] 피싱 메일 및 첨부 파일 정보

 

사용자가 첨부파일을 실행하면 문서 내부의 매크로가 동작해 UserForm에 작성된 리소스를 운영체제 버전에 따라 읽어온다. 그후, 읽어온 데이터를 지정된 경로에 파일로 드롭한 후 실행한다.

-       파일 드롭 경로

C:\Users\INCA\Glhvadia\hbraeiwas.exe

 

[그림 3] 매크로 실행 및 결과

 

2. 파일 드롭 및 실행 (hbraeiwas.exe)

hbraeiwas.exe 파일은 내부에 존재하는 압축 파일 데이터 형태의 리소스를 읽어 지정된 경로에 드롭한다. 이후, 파일 명을 변경하고 압축을 해제해 생성한 파일인 dlrarhsiva.exe를 실행한다.

-       파일 드롭 경로

C:\ProgramData\Hdlharas\mdkhm.zip (기존 : dlrarhsiva -> 변경 : mdkhm.zip)

C:\ProgramData\Hdlharas\dlrarhsiva.exe (압축 해제한 파일)

 

[그림 4] 드롭 파일 실행 및 결과

 

3. 최종 페이로드 – Crimson RAT (dlrarhsiva.exe)

이번 캠페인에서 최종 실행하는 “Crimson RAT” 악성코드는 공격자가 운영하는 C&C 서버와 지속적인 통신을 시도한다. 하지만 분석 시점에서는 연결되지 않았다.

 

[그림 5] 공격자의 C&C 서버 연결 패킷

 

공격자가 운영하는 C&C 서버와 정상적으로 연결되면 명령을 포함한 데이터를 수신해 [표 1]과 [표 2]와 같이 처리한다. 먼저, [표 1]은 데이터 수집 및 전송과 관련한 명령을 정리한 표이다.

 

[표 1] Crimson RAT 명령 정보 - 데이터 수집 및 전송

 

다음으로, [표 2]는 다운로드와 실행 및 종료 등의 행위와 관련한 명령을 정리한 표이다.

 

[표 2] Crimson RAT 명령 정보 - 다운로드, 실행 및 종료 등의 행위

 

최근, 군사 및 외교 분야 등 다양한 분야를 대상으로 피싱 메일을 보내 사용자를 속인 후, 악성코드를 실행하는 캠페인이 발견되고 있어 주의가 필요하다. 따라서 출처가 불분명한 메일에 첨부된 파일의 실행을 지양하고, 보안 제품이나 OS를 항상 최신 버전으로 유지하여야 한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면