[보안뉴스 / 7.9.] 넷서포트 악성코드, 메일 통해 유포 중… 공식 문서처럼 정교하게 위장

안랩 ASEC 분석팀, 피싱 메일로 유포되는 넷서포트 악성코드의 동작 흐름 탐지 및 분석

[보안뉴스 김영명 기자] 넷서포트(NetSupport) RAT은 다양한 공격자들에 의해 사용되며, 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order, P.O.) 등으로 위장한 스팸 메일 및 피싱 페이지를 통해 주로 유포되고 있다.

▲넷서포트 RAT 악성코드를 유포하는 피싱 메일 본문[자료=안랩 ASEC 분석팀]

안랩 ASEC 분석팀은 최근 유포된 스피어피싱 메일에서 넷서포트 RAT가 유포되고 있는 것을 확인했다. 넷서포트 RAT 악성코드를 유포하는 피싱 이메일에는 악성 자바스크립트가 압축돼 ‘scan16431643.zip’ 파일명으로 첨부돼 있다. 공격자는 감사와 관련한 체크리스트 항목 파일로 피해자를 속여 첨부된 악성파일을 열어보도록 유도했다. 첨부된 압축 파일(scan16431643.zip) 내부에는 ‘scan16431643.js’ 파일명의 악성 자바스크립트가 담겼다.

악성 자바스크립트(scan16431643.js)의 코드를 보면 일부 문자열이 난독화돼 있다. 악성코드는 정상 사이트 3곳을 접속해 피해자 환경의 인터넷 연결을 확인하며. 연결이 실패할 경우 악성코드는 자동으로 종료된다. 인터넷 연결에 성공할 경우, 악성코드는 명령제어(C2) 서버에 접속해 추가 파워쉘 스크립트를 다운로드하고 실행시킨다. 해당 부분도 코드 난독화가 돼 있다.

▲EDR 탐지 다이어그램(AMSI)를 통한 복호화된 스크립트 확인[자료=안랩 ASEC 분석팀]

해당 악성코드가 실행된 환경에서 발생한 EDR 위협탐지 다이어그램을 보면, AMSI(Anti-Malware Scan Interface) 기능을 통해 자바스크립트의 난독화된 스크립트라도 AMSI 버퍼로 수집되는 문자열을 통해 파워쉘 커맨드 및 접속 시도한 C2 주소 등 복호화된 데이터 수집이 가능하다. AMSI는 응용 프로그램 및 서비스를 백신 제품과 통합할 수 있는 다목적 인터페이스의 표준이다.

C2로부터 다운로드된 추가 파워쉘 스크립트를 보면, 해당 스크립트는 로컬에 생성되지 않고 실행된다. 해당 파워쉘 스크립트는 넷서포트 RAT를 내려받고, 로컬의 Appdata 폴더 하위 경로의 TimeUTCSync_(랜덤숫자) 폴더에 ‘client32.exe’ 파일명으로 생성하고, 부팅 시 자동 실행되도록 레지스트리 키에 등록한다. 추가 다운로드되는 파워쉘 스크립트는 로컬에 파일로 생성되진 않지만, EDR의 프로세스 실행 이력에서 확인이 가능하다.

▲EDR 프로세스 트리(powershell 스크립트 확인)[자료=안랩 ASEC 분석팀]

메일을 통해 유포되는 넷서포트 RAT 악성코드의 유포 방식을 정리해 보면, 공격자는 송장(Invoice), 선적 서류(Shipment Document), 구매 주문서(Purchase Order, P.O.) 외에도 메일 본문과 같이 감사와 관련한 체크리스트로 위장하는 등 공식 문서처럼 정교하게 위장해 유포하고 있다. 따라서 본문 내용만 볼 때, 정상 메일과 구분이 모호하기 때문에 메일에 포함된 첨부파일을 열어볼 때는 악성코드가 실행 가능한 확장자가 존재하는지 항상 주의해야 한다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>