상세 컨텐츠

본문 제목

국내 유명은행 보안메일을 사칭한 RemcosRAT 악성 이메일 주의!!

악성코드 분석 리포트

by 알약1 2021. 6. 3. 14:18

본문

 

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.


최근 국내 유명 은행 보안메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다.


이번에 발견된 메일은 "보안메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 보안메일과 유사하게 제작되었습니다.

 

 

[ 그림 1] 은행 보안메일 사칭 악성 이메일

 

 

보안메일 프로그램처럼 보이는 첨부 파일은 “PDF 문서 아이콘”으로 위장하여 사용자가 다운로드하여 실행 시 악성 행위를 시작합니다.

 

 

[ 그림 2] 첨부파일 내부 화면

 

 

악성파일은 Remcos Rat 1.7 Pro 버전으로 확인되었으며 진단을 우회하기 위해 .NET을 이용하였으나, 내부 악성 모듈을 추출하면 버전 정보가 하드코딩되어 있습니다.

 

 

[ 그림 3] 하드코딩 된 Remcos Rat 버전 정보

 

 

Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.

 

명령어 설 명
filemgr, upload, rename, deletefile, downloadfromurltofile 파일관리 (업로드, 다운로드, 파일명변경, 파일삭제)
regopened, regcreatekey, regeditval, regdelkey, regdelval,
regopen, initregedit
레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제)
getproclist, prockill 프로세스 관리 (프로세스 리스트 및 종료)
keyinput 키로깅
consolecmd, execcom, cmdoutput, sendfiledata 셸 명령 실행 및 결과 업로드
scrcap 화면 스크린샷
OSpower 시스템 종료 및 재시작

 

 

이외에도 사용자 PC에 동작 중인 브라우저(Internet Explorer, Chrome, Firefox)의 쿠키 데이터와 로그인 정보를 수집합니다.

 

 

[그림 4] 브라우저 정보 탈취 기능

 

 

현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A 로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.

 

 

관련글 더보기

댓글 영역