분석 정보/악성코드 분석 정보

Teams를 사용해 유포되는 DarkGate 악성코드

TACHYON & ISARC 2023. 10. 16. 14:06

마이크로소프트의 Teams 사용자를 대상으로 유포되는 DarkGate 악성코드가 발견됐다. 공격자는 Teams 채팅으로 휴가 일정 변경 관련 파일을 전송해 사용자의 다운로드를 유도한다. 해당 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, LNK 파일은 C&C 서버에서 추가 페이로드를 다운로드해 최종적으로 DarkGate 악성코드를 실행한다. DarkGate C&C 서버와 연결 후 서버에서 수신한 명령에 따라 악성 동작을 수행한다.

 

Teams 채팅에서 다운로드한 압축 파일은 PDF 문서로 위장한 LNK 파일을 포함하고 있으며, [그림 1]과 같이 C&C 서버와 연결하는 VBS 파일을 드롭 후 실행한다.

 

[그림 1] PDF 문서로 위장한 LNK 파일

 

C&C 서버와 연결에 성공하면, 서버로부터 명령어를 수신하고, 해당 명령어를 실행해 오토잇 실행파일과 스크립트를 다운로드한다.

 

[그림 2] 오토잇 실행파일 및 스크립트 다운로드

 

오토잇 스크립트는 인코딩된 코드를 디코딩해 새로운 쉘 코드를 생성하며, 해당 쉘 코드는 DarkGate 페이로드에 해당하는 PE코드를 로드하고 실행한다.

 

[그림 3] 디코딩된 쉘 코드

 

DarkGate가 실행되면 먼저, 감염된 PC에서 정보를 수집 및 암호화한 후 C&C 서버에 전송한다.

 

[그림 4] 암호화된 정보 전송

 

이후, C&C 서버로부터 명령어를 수신해 [1]의 추가 악성 동작을 수행한다.

 

[표 1] 추가 악성 동작

 

또한, 시작프로그램 폴더에 오토잇 스크립트를 실행하는 LNK 파일을 생성함으로써 자동 실행을 등록해 지속성을 유지한다.

 

[그림 5] 자동 실행 등록

 

DarkGate휴가 일정 변경이라는 주제를 사용해 유포되며, PDF문서를 위장하고 있어 사용자의 다운로드 및 실행을 유도한다. 이처럼 사용자의 방심을 유도하는 사회 공학 기법은 공격자가 자주 사용하는 방법으로 주의가 필요한다. 따라서, 출처가 불분명한 메일 또는 채팅에 첨부된 파일의 실행을 지양하고, 백신 프로그램과 OS를 항상 최신버전으로 유지할 것을 권고한다.

 

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면