상세 컨텐츠

본문 제목

[woodyRAT] 악성코드 분석 보고서

악성코드 분석 리포트

by 알약5 2022. 9. 26. 10:00

본문

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

woodyRAT 악성코드는 러시아어로 작성된 문서파일로 유포되었고 최종 페이로드는 명령 제어 악성코드이며, 최근까지 이메일 등으로 유포가 이루어지고 있는 것으로 알려져 있습니다.

 

해당 woodyRAT은 사용자의 시스템 정보 유출과 명령제어 등의 일반적인 RAT 기능과 더불어 악성코드 내부에 닷넷 기반의 DLL를 포함하고 있어 수신된 명령어가 닷넷이나 파워쉘인 경우에도 원격 제어가 가능하다는 특징이 있습니다.

 

[그림] 문서 실행 화면

 

‘woodyRAT’ 악성코드는 사용자 정보 전송 및 명령 제어 기능을 수행하는 원격 제어 악성코드입니다. 


이번에 발견된 최초 문서 파일은 러시아어로 작성되어 있으나 다양한 언어로 작성되어 유포될 가능성이 존재하고 닷넷, 파워쉘 등 다양한 언어로 작성된 원격 제어 명령을 처리합니다. 

만일 기업체나 개인이 이러한 악성코드에 감염이 이루어지는 경우, 공격자의 의도에 따라 정보 유출 혹은 명령어 실행 등으로 더 큰 금전 피해가 발생할 수 있습니다.


따라서 이러한 악성코드에 감염이 되지 않도록 출처가 불분명한 이메일의 링크 혹은 첨부 파일에 대해 실행을 삼가야 하며, 백신을 항상 최신 버전으로 유지할 수 있도록 해야 합니다.

 

자세한 내용은 보안동향보고서에서 확인하실 수 있으며, 현재 알약에서는 관련 악성코드를 ‘Backdoor.RAT.Woody’로 진단하고 있습니다. 

 

관련글 더보기

댓글 영역