.hta 파일로 유포중인 KimJongRAT 주의!

 

 

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

KimJongRAT은 북한 배후로 추정되는 Kimsuky 그룹과 연관된 것으로 알려진 원격 액세스 트로이 목마(RAT) 로, 최근 .hta 파일을 통해 KimJongRAT이 유포되고 있는 것을 확인하였습니다. 

 

이번에 발견된 파일은 국세 고지서.pdf(tax_notice).zip 파일명으로 유포되었으며, 피싱 메일을 통해 최초 유포된 것으로 추정되고 있습니다. 

 

국세 고지서.pdf(tax_notice).zip 내에는 국세고지서.pdf 파일을 위장한 lnk 파일이 포함되어 있습니다. 

 

[그림 1] 국세 고지서.pdf(tax_notice).zip 파일 내 lnk 파일

 

 

사용자가 해당 lnk 파일을 실행하면, 내부에 Base64로 인코딩된 URL 값을 복호화한 뒤 mshta를 사용해 해당 링크에 접속하고, 이후 추가 페이로드를 다운로드합니다.

 

최종 리디렉션 된 URL에서는 tax.hta 파일을 다운로드 받은 후 실행합니다. 

 

.hta 파일은 VBScript 구현된 로더로, 실행 후에는 디코이 파일과 함께 추가 악성파일을 다운받습니다. 이 과정에서 Google Drive URL을 사용하여 보안프로그램의 탐지 우회를 시도합니다.  

 

[그림 2] 디코이 파일

 

 

이번 공격은 Windows Defender의 상태를 체크하고, Windows Defender에 따라 각기 다른 페이로드를 내려주는 특징이 있습니다.

 

[그림 3] 윈도우 디펜더 실행여부에 따라 분기하는 코드

 

 

사용자 PC의 Windows Defender가 비활성화 상태일 경우,v3.log 파일을 내려받습니다. 이 파일은 최종적으로 net64.log 파일을 내려받아 실행하며, 해당 파일은 시스템 정보 및 브라우저 저장 데이터, 브라우저 암호화 키, 암호화폐 지갑 정보, 텔레그램(특정 계정), 디스코드, NPKI/GPKI 인증서등 다양한 정보를 수집합니다. 뿐만 아니라, run 레지스트리에 등록하여 지속성을 확보하여 주기적으로 사용자 정보를 수집하여 전송합니다. 

 

사용자 PC의 Windows Defender가 활성화 상태일 경우, pipe.log 파일을 내려받습니다. 이 파일은 최종적으로 1.log 파일을 내려받아 실행하며, net64.log 파일과 동일하게 시스템 정보 및 브라우저 저장 데이터, 브라우저 암호화 키, 암호화폐 지갑 정보, 텔레그램(특정 계정), 디스코드, NPKI/GPKI 인증서등 다양한 정보를 수집합니다. 뿐만 아니라, run 레지스트리에 등록하여 지속성을 확보하여 주기적으로 사용자 정보를 수집하여 전송합니다.

 

[그림 4] 악성코드가 탈취하는 암호화폐 지갑 목록

 

 

국내에 특화된 정보들을 탈취하는것으로 보아, 국내 타깃으로 정밀하게 제작된 악성코드로 볼 수 있습니다.  

 

최근 HTA 파일을 활용한 공격 시도가 지속되고 있습니다. 

 

HTA 파일은 정상 윈도우 프로세스인 mshta.exe를 사용하여 인터넷에서 원격의 hta를 직접 실행할 수 있는 특징을 갖고 있어 공격자들이 자주 사용하는 공격방식 중 하나입니다. 

 

Microsoft가 보안을 강화하고 있지만, 레거시 시스템이나 보안이 약하게 설정된 환경에서는 여전히 매우 효과적인 공격수단인 만큼, 사용자 여러분들께서는 사용하시는 윈도우 및 sw를 항상 최신버전으로 유지하시기 바라며, 파일 탐색기 내 파일 확장자명 보기 기능을 활성화 하시고, 파일을 실행하기 전 반드시 확장자를 확인하시기 바랍니다. 

 

현재 알약에서는 관련 악성파일들에 대해 Trojan.Agent.LNK.Gen,Trojan.Downloader.VBS.Agent 등으로 탐지하고 있습니다.