Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

악성코드 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Transparent Tribe APT 그룹의 공격 도구, Crimson RAT 유포
작성일 2020-09-08 조회 352

1. 개요

ProjectM, Mythic Leopard, APT36 등으로 불리는 Transparent Tribe APT 그룹의 사이버 공격 도구로 사용된 Crimson RAT은 주로 악성 문서 파일에 포함되어 피싱 메일을 통해 유포되었다. 2013년부터 활동해온 것으로 추측되는 Transparent Tribe APT 그룹은 지난 4년 동안 인도를 타깃으로 사이버 공격을 진행했으며, 인도 정부와 국방부를 사칭하여 사이버 보안 관련 공지사항, COVID-19에 대한 건강 권고 사항 등을 주제로 한 악성 문서 파일을 유포했다.

 

원격 제어 악성코드인 Crimson RAT은 공격자와 통신을 통해 명령을 수신받고, PC 정보나 파일 등을 탈취하거나 서버로부터 악성코드를 다운로드받아 추가적인 악성 행위 등을 할 수 있다.

 

 

피싱 문서 파일

[그림 1] 피싱 문서 파일

 

 

 

2. 악성 행위

엑셀 파일 실행 후, 매크로 실행을 허용할 경우 현재 PC의 운영체제를 체크하여 64bit는 UserForm에서 TextBox1, 32bit는 TextBox2를 로드한다. 로드한 데이터를 복호화하여 tbvrarthsa.zip을 드롭하고 압축을 해제한 뒤, Crimson RAT(tbvrarthsa.exe) 악성코드가 실행된다.

- %ALLUSERSPROFILE%Media-List bvrarthsa.zip

 

 

Textbox

[그림 2] VBA - UserForm - TextBox

 

 

 

실행된 악성코드는 C2 서버와의 통신을 통해 명령을 수신받고, 탈취한 데이터를 송신한다. 수신받은 명령어는 '='을 기준으로 앞 단어와 'tbvrarthsa-'를 결합하고, 분기문을 통해 명령이 이행된다. 결합되는 문자열은 Crimson RAT 샘플마다 차이가 존재하며, 수집한 데이터는 'tbvrarthsa-(명령어)=(데이터)'의 포맷으로 전송된다.

- C2 : 142[.]234[.]201[.]80

 

 

명령 분기점

[그림 3] 명령어 분기문

 

프로세스 정보 탈취 패킷

[그림 4] 프로세스 정보 탈취 패킷

 

 

 

Crimson RAT은 화면 캡처, 파일 전송 또는 삭제, 프로세스 검색, PC 정보 탈취 등과 관련된 명령어를 포함하고 있다. C2 서버로부터 명령을 수신받아 Crimson RAT이 이행 가능한 명령어와 행위는 아래와 같다. 

 

 

Crimson RAT 명령어 목록

[표 1] Crimson RAT 명령어 목록

 

 

 

2.1 자동 실행 등록

'putsrt' 명령을 통해 악성코드를 레지스트리에 'rthebi_dreb' 이름으로 자동실행등록을 한다.

 

 

자동실행 등록 로직

[그림 5] 자동실행 등록 로직

 

 

 

2.2 PC 정보 탈취

'info' 명령을 통해 감염 PC의 정보를 탈취한다. PC와 User의 이름, 운영체제와 악성코드의 버전, 현재 실행 파일의 경로를 C2 서버로 전송한다.

 

 

PC 정보 탈취 패킷

[그림 6] PC 정보 탈취 패킷

 

 

 

2.3 화면 캡처

'cscreen' 명령을 통해 감염 PC의 화면을 캡처하며, JPEG 포맷으로 공격자에게 전송된다.

 

 

화면 캡처 로직

[그림 7] 화면 캡처 로직

 

 

 

2.4 파일 추가 다운로드 및 실행

'udlt' 명령을 통해 C2 서버로부터 파일을 다운로드받고, 해당 파일을 통해 추가적인 악성 행위를 할 수 있다. 그리고 'hrdianca.exe' 파일의 유무를 확인하여 존재하지 않을 경우 파일을 저장하고, 실행한다.

 

 

추가 파일 다운로드 및 실행 로직

[그림 8] 추가 파일 다운로드 및 실행 로직

 

 

 

2.5 행위 중단

'cnls' 명령을 통해 파일 전송 및 다운로드, 파일 검색, 화면 캡처와 관련된 변숫값을 변경하여 악성코드의 행위를 중단시킬 수 있다. 변경되는 변숫값은 다음과 같다.

 

 

행위 중단을 위한 변숫값 변경

[표 2] 행위 중단을 위한 변숫값

 

 

 

3. APTX 탐지

현재 윈스의 현재 SNIPER APTX에서는 해당 악성코드에 대해 아래와 같이 탐지/분석하고 있다.

 

 

APTX 탐지/분석 보고서

[그림 10] APTX 탐지/분석 보고서 - Crimson RAT

 

 

 

 

4. IOC

NHQ_Notice_File.xls
5158c5c17862225a86c8a4f36f054ae2

 

CrimsonRAT
6d5e033651ae6371b8c8a44b269101b2

 

첨부파일 첨부파일이 없습니다.
태그 Crimson RAT  Transparent Tribe  ProjectM  APT36