최근 “Woody RAT” 악성코드가 러시아를 표적으로 삼아 공격을 수행하는 것이 확인됐다. 해당 캠페인은 문서 파일을 메일에 첨부하여 전송한다. 첨부된 문서 파일 내부에는 매크로를 통해 “Follina” 취약점을 악용하여 공격자의 서버에서 최종 페이로드인 “Woody RAT”을 다운로드한다. 최종적으로 페이로드는 실행 시 사용자의 PC의 민감한 정보를 탈취하여 공격자의 C&C 서버로 전송하며 공격자가 지정한 명령어를 서버에서 받아와 원격으로 사용자의 PC를 제어한다.
해당 악성코드에서 사용된 “Follina” 취약점은 “MS Diagnostic Tool (MSDT)” 프로그램이 URL 프로토콜을 통해 호출될 때 발생할 수 있으며 MSDT를 호출한 프로그램의 권한으로 임의의 코드를 원격으로 실행할 수 있는 취약점이다.
아래는 “Woody RAT”에서 사용된 “Follina” 취약점에 대한 자사 블로그 게시글이다.
https://isarc.tachyonlab.com/5229
Analysis
메일에 첨부된 문서 파일을 다운로드하여 실행하면 “Follina” 취약점을 악용하여 공격자의 서버에서 페이로드를 다운로드 한다.
페이로드가 다운로드되면 공격자의 C&C 서버와 연결을 시도한다. 연결이 완료되면 감염된 사용자의 PC의 정보를 탈취한다.
[표 1]은 탈취되는 사용자 PC의 정보이다.
사용자 PC 정보 탈취를 마치면 공격자 C&C 서버에 지속적으로 핑을 보내어 연결을 확인한다.
우선, 공격자 서버에서 응답이 왔을 때, “_CRY”로 전송되면 핑을 다시 보내도록 한다.
다음으로, 공격자 서버에서 응답이 왔을 때, “_ACK”로 전송되면 추가 명령을 반환하여 사용자의 PC를 원격으로 제어할 수 있다.
공격자의 서버와 사용자 PC가 연결되면 지정된 명령어를 이용하여 PC를 원격 제어한다. 아래의 [표 2]는 파일 내부에 저장되어 있는 공격자가 수행하는 명령어이다.
또한, “Woody RAT” 악성코드는 페이로드 내부에 “WoodyPowerSession.dll”, “WoodySharpExecutor.dll” 라는 이름의 닷넷 기반 DLL 파일을 내장하고 있다. 해당 DLL 파일은 각각 공격자의 서버에서 수신 받은 명령어가 “.NET” 혹은 “파워쉘 명령어”인 경우 사용된다.
아래의 [표 3]은 해당 DLL 파일에서 수행하는 명령어이다.
“Woody RAT” 악성코드는 사용자의 시스템 정보를 탈취하며 공격자의 서버에서 명령을 수신해 원격으로 PC를 제어할 수 있다. 해당 악성코드는 최근 민감한 러시아와 우크라이나와의 관계를 이용한 메일에 첨부 파일을 통해 유포되고 “Follina” 취약점을 악용하여 페이로드를 다운로드 받아 실행되므로 출처가 불분명한 메일에 첨부된 파일을 실행할 때에는 주의를 기울이도록 해야한다.
상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.