악성코드 칵테일을 확산시키는 데 사용되는 Microsoft Office 크랙 버전

AhnLab 보안 인텔리전스 센터(ASEC)의 연구원들은 토렌트 웹 사이트에서 다운로드한 크랙 버전의 MS Office 및 Windows를 통해 악성 코드 칵테일을 배포하는 지속적인 캠페인을 식별했습니다.

 

공격자는 다운로더, CoinMiner, 원격 액세스 트로이목마(RAT), 프록시, AntiAV 등 다양한 악성코드 변종을 한국 사용자에게 배포했습니다.

한국에서 널리 사용되는 도구인 Windows, MS Office, 한글 워드 프로세서와 같은 합법적인 프로그램의 크랙 버전으로 가장합니다.

연구원들은 이렇게 말했습니다.

한국 연구원들은 보고서 에서 위협 행위자들이 감염된 시스템의 작업 스케줄러에 등록하여 PowerShell 명령을 실행하여 악성 코드를 설치함으로써 악성 코드를 업그레이드해 왔다고 밝혔습니다.

 

작업 스케줄러가 수정되지 않으면 새로운 맬웨어 변종이 시스템에 반복적으로 설치됩니다.

그러나 V3를 설치한 사용자는 반복적인 악성코드 설치로 인한 문제를 경험하지 않습니다. V3는 악성코드에 의해 설치된 작업을 교정하기 때문입니다.

 

 

설치된 악성코드 변종에는 업데이트를 실행하는 유형이 포함되어 있기 때문에 작업 스케줄러에 등록된 파워셸 명령이 계속 바뀌기 때문에 이전 URL을 차단한 후에도 감염이 지속된다.

결과적으로 공격자는 감염된 한국 시스템에 대한 통제권을 획득하고 이를 프록시로 활용하거나 암호화폐 채굴에 활용함으로써 사용자의 민감한 정보를 도난당할 위험이 있습니다.

 

반응형

 

또한 최근 적발된 MS 오피스 크랙 버전으로 위장한 악성코드 유포 사례는.NET을 사용해 개발됐으나 최근 난독화된 것으로 확인됐다고 보고서는 덧붙였다.

 

 

난독화 이전에는 아래와 같은 형식을 따르며 최초 실행 후 텔레그램에 접속하여 다운로드 URL을 획득하였다.

 

최근 유포된 악성코드는 텔레그램 URL 2개와 마스토돈 URL 1개로 구성됐으며, 각 URL에는 프로필별로 구글 드라이브나 깃허브 URL에서 사용되는 문자열이 포함됐다.

 

또한 GitHub 및 Google 드라이브에서 다운로드한 데이터는 Base64로 암호화된 문자열이었는데, 이는 해독 시 실제로 다양한 악성 코드 변종 설치를 담당하는 PowerShell 명령이었습니다.

 

ASEC 연구원들은 침해된 시스템에 설치된 것으로 밝혀진 악성코드는 다음과 같다고 밝혔습니다.

• Orcus RAT : 시스템 정보 수집, 명령 실행, 파일, 레지스트리, 프로세스에 대한 작업 등 기본적인 원격 제어 기능을 지원합니다. 또한 키로깅과 웹캠을 이용한 정보 유출 기능도 제공합니다.
• XMRig : 시스템 실행 프로그램이 게임, 하드웨어 모니터링 유틸리티, 그래픽 처리용 프로그램 등 상당한 양의 시스템 리소스를 점유하는 경우 탐지를 피하기 위해 마이닝을 중단합니다.
• 3Proxy : 방화벽 규칙에 3306 포트를 추가하고 합법적인 프로세스에 3Proxy를 주입하는 프록시 서버 기능을 갖춘 오픈 소스 도구로, 위협 행위자가 감염된 시스템을 프록시로 악용할 수 있습니다.
• PureCrypter : 외부 소스에서 추가 페이로드를 다운로드하고 실행합니다.
• AntiAV : 프로그램이 실행될 때마다 설치 폴더 내의 구성 파일을 지속적으로 수정하여 보안 프로그램이 제대로 작동하지 못하도록 방해하고 시스템을 다른 구성 요소의 작동에 취약하게 만듭니다.
• 업데이터 : 악성코드를 다운로드하고 지속성을 유지하는 역할을 담당합니다. 또한 시스템 재부팅 후에도 지속적으로 작동할 수 있도록 작업 스케줄러에 등록합니다.

 

사용자는 장치가 감염될 위험을 피하기 위해 의심스러운 소스에서 불법 복제되거나 크랙된 소프트웨어를 다운로드할 때 주의를 기울이는 것이 좋습니다.

 

*참조한 원본 글:https://www.techworm.net/2024/05/malware-strains-systems-pirated-microsoft-office.html