감염 PC 원격 제어하는 아베마리아 악성코드 유포 중

감염 PC 원격 제어하는 아베마리아 악성코드 유포 중 AhnLab ASEC 분석팀 l 2020-08-12     안랩은 자사 ASEC 블로그를 통해 ‘아베마리아’(AveMaria) 악성코드가 스팸메일의 첨부파일 형태로 국내에 유포되고 있다고 밝혔다. 이에 대해, 의심스러운 첨부파일 실행 지양, V3 최신 버전 업데이트 등 사용자의 각별한 주의를 당부했다.     아베마리아는 원격 제어 기능을 바탕으로 동작하는 RAT(Remote Administration Tool) 악성코드로, C&C(Command and Control) 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 스팸메일을 통해 유포되는 점과 진단을 우회해기 위해 외형을 닷넷(.NET)으로 패킹한다는 점에서 에이전트테슬라(AgentTesla), 로키봇(Lokibot), 폼북(Formbook) 악성코드와 유사하다.   다음은 유포에 사용된 견적 요청을 가장한 스팸메일이다.   [그림 1] 아베마리아 악성코드 유포에 사용되는 스팸메일   첨부파일에는 ▲7z, ▲zip 총 두 개의 압축파일이 존재한다. 두 압축파일에는 동일한 실행파일(exe)이 있으며, 모두 아베마리아가 내재되어 있다. 사용자가 첨부파일 압축을 해제한 후 xlsx 엑셀 파일로 착각하고 실행할 경우 악성코드가 동작한다.   아베마리아는 공격자가 생성 시 지정한 옵션에 따라 다음과 같은 기능들이 활성화된다. A. 지정되는 이름으로 복사 및 재실행 B. 재부팅 후에도 악성코드 작동 C. 악성코드 실행 시부터 오프라인 키로깅 수행 D. 악성코드가 종료된 후에도 재실행 반복 E. 관리자로 권한 상승 F. Windows Defender 탐지 우회   앞서 언급했듯, 아베마리아는 RAT 악성코드로 공격자가 원격으로 내리는 명령에 따라 다양한 공격을 수행한다. 다음은 아베마리아의 여러 공격 기능 중 대표적인 10개를 요약한 것이다.   [그림 2] 아베마리아 악성코드 공격 기능   사용자들은 의심스러운 메일을 수신할 경우, 첨부파일 실행을 지양해야 한다. 또한, V3를 최신 버전으로 업데이트하여 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다. 현재 자사 V3 제품에서는 해당 악성코드를 아래와 같이 진단 중이다.   [파일 진단] - Trojan/Win32.Kryptik.R346819   [행위 진단] - Malware/MDP.Inject.M218   [관련 IOC 정보] - C2: 54369253290033.sytes[.]net:5200 - HASH 77384b5848a963645b44fedc97075bc2   아베마리아 악성코드에 대한 자세한 분석 정보는 ASEC 블로그에서 확인할 수 있다.   ▶ASEC 블로그 바로 가기