분석 정보/악성코드 분석 정보

VMWare Horizon 서버를 통해 유포되는 MagicRAT 악성코드

TACHYON & ISARC 2022. 9. 21. 16:18

최근 “Magic RAT” 악성코드가 ‘VMware Horizon’ 서버의 ‘Log4j’ 취약점을 악용해 공격을 수행하는 것이 확인됐다. 해당 악성코드는 기존에 존재하던 “Tiger RAT” 악성코드의 변종이며 “Tiger RAT”의 공격자 C&C 서버 연결 인프라가 동일한 것으로 알려졌다. 

“Magic RAT” 악성코드는 감염된 사용자의 서버에서 스크린 샷 캡처, 키로깅 동작, 시스템 정보 수집과 같은 탈취 동작을 수행하고, 공격자의 서버에서 명령을 받아 원격으로 감염된 PC를 제어할 수 있다.

해당 악성코드에서 사용된 “VMware Horizon” 서버의 ‘log4j’ 취약점은 JNDI 조회 패턴을 사용하여 악의적인 입력 데이터를 조작하는 서비스 거부(DOS) 공격을 수행하는 취약점이다.

아래는 “Magic RAT”에서 사용된 ‘Log4j’ 취약점에 대한 자사 블로그 게시글이다.

https://isarc.tachyonlab.com/4768

 

Analysis

공격자가 “VMware Horizon” 서버를 통해 사용자의 PC에 접근을 성공하면 “Magic RAT” 악성코드가 실행된다. 

악성코드 실행 시 공격자의 C&C 서버 연결을 시도하기 위해 인코딩된 URL이 저장된 “visual.1991-06.com.microsoft_sd.kit” 파일을 드랍한다. 해당 파일은 정상적인 윈도우 소프트웨어 툴킷 파일명을 사용하여 위장된다.

드랍 파일은 “LR02DPt22R” 접두사를 제외하면 각각 윈도우, 리눅스, 맥OS의 Base64로 인코딩된 URL을 저장하고 있다.

 

[그림 1] 인코딩된 URL 저장 파일

 

쉘 스크립트를 통해 악성코드 실행이 효과적으로 수행될 수 있도록 설정한다.

첫번째로, “OneDrive AutoRemove”라는 이름의 작업 스케줄러를 설정하여 오전 10시 30분에 악성코드 원본 파일을 삭제하도록 한다.

 

[그림 2] 작업 스케줄러 (악성코드 삭제)

 

마지막으로 “Light Service Manager”라는 이름의 작업 스케줄러를 통해 시스템이 부팅되면 악성코드가 실행될 수 있도록 한다.

 

[그림 3] 작업 스케줄러 (악성코드 실행)

 

이후, “whoami”와 같은 사이트와 연결하여 사용자 PC의 IP를 수집하며 사용자 PC의 정보를 탈취한다. 또한, 키로깅 동작을 수행하고, 사용자 PC에 존재하는 파일 및 데이터 바탕화면 스크린샷도 수집한다.

 

[그림 4] 정보 탈취 및 키로깅 동작

 

사용자 PC 정보 탈취를 마치면 공격자 C&C 서버에 연결을 시도한다. 하지만 공격자 서버가 닫혀 정보 탈취 및 키로깅 동작을 확인할 수 없었으며 위의 [그림 4]는 파일 내부 바이너리 코드를 분석하여 추정한 결과이다.

 

[그림 5] 공격자 C&C 서버 연결 시도

 

만약 공격자의 C&C 서버와 연결되어 탈취된 정보를 전송하고 나면 추가 페이로드 다운로드를 시도한다.

외신에 의하면 다운로드된 페이로드는 포트 스캐너 악성코드로 사용자가 사용하는 네트워크를 모니터링할 수 있다. 모니터링되는 정보는 연결 IP, 포트 넘버와 같은 정보이며 해당 정보를 직접 공격자 서버로 보내어 실시간으로 감시하거나 로그 파일을 생성하여 저장할 수 있다.

 

“Magic RAT” 악성코드는 사용자의 시스템 정보 및 키보드, 마우스 입력 값을 탈취하며 공격자의 서버에서 명령을 수신해 원격으로 PC를 제어할 수 있다. 해당 악성코드는 이전에 등장한 “Log4j” 취약점을 악용하며 가상 서버인 “VMware Horizon” 서버를 타겟으로 유포되고, 추가 페이로드를 다운로드 받아 실행될 염려가 있으므로 보안 제품이나 OS를 항상 최신 버전으로 유지할 것을 권고한다.

상기 악성코드는 잉카인터넷 안티바이러스 제품 TACHYON Internet Security 5.0에서 진단 및 치료가 가능하다.

 

[그림 6] TACHYON Internet Security 5.0 진단 및 치료 화면