[º¸¾È´º½º ¿øº´Ã¶ ±âÀÚ] ÃÖ±Ù °ø°ÝÀÚÀÇ ¸í·ÉÀ» ¹Þ¾Æ ´Ù¾çÇÑ ¾Ç¼º ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Â RAT ¾Ç¼ºÄÚµåÀÇ ÀÏÁ¾ÀÎ ¡®njRAT ¾Ç¼ºÄڵ塯°¡ À¥Çϵå¿Í Å䷻Ʈ¸¦ ÅëÇØ À¯Æ÷µÇ°í ÀÖ¾î ÁÖÀÇ°¡ ¿ä±¸µÈ´Ù. njRAT ¾Ç¼ºÄÚµå´Â ´Ù¿î·Îµå ¹× ¸í·É ½ÇÇà, Å°·Î±ë, ±×¸®°í »ç¿ëÀÚ °èÁ¤Á¤º¸ Å»Ãë µîÀ» ¼öÇàÇÒ ¼ö Àֱ⠶§¹®¿¡ °ú°ÅºÎÅÍ °ø°ÝÀڵ鿡 ÀÇÇØ ²ÙÁØÈ÷ »ç¿ëµÇ°í ÀÖ´Ù.
[À̹ÌÁö=utoimage]
¾È·¦ ASEC ºÐ¼®ÆÀÀº njRAT ¾Ç¼ºÄÚµå´Â ÀÎÅͳݿ¡¼ ½±°Ô ºô´õ¸¦ ±¸ÇÒ ¼ö Àֱ⠶§¹®¿¡ ±¹³» »ç¿ëÀÚµéÀ» ´ë»óÀ¸·Î ´Ù¾çÇÑ ÇüÅ·ΠÀ¯Æ÷ ÁßÀ̸ç, ´ëÇ¥ÀûÀ¸·Î´Â Å䷻Ʈ¿Í À¥Çϵ带 ÀÌ¿ëÇØ Á¤»ó ÇÁ·Î±×·¥À¸·Î À§ÀåÇØ À¯Æ÷ÇÏ´Â ¹æ½ÄÀÌ ÀÖ´Ù°í ¼³¸íÇß´Ù. ƯÈ÷, njRAT °°Àº ÀÌ¹Ì ¾Ë·ÁÁø ¾Ç¼ºÄÚµåµéÀº º¸¾È ÇÁ·Î±×·¥¿¡ ÀÇÇØ ½±°Ô Â÷´ÜµÇ±â ¶§¹®¿¡ °ø°ÝÀÚµéÀº ´Ù¾çÇÑ ¹æ½ÄÀ» ÀÌ¿ëÇØ Å½Áö¸¦ ¿ìȸÇÏ°í ÀÖ´Ù. ¿©±â¿¡¼´Â ÃÖ±Ù À¯Æ÷µÇ°í ÀÖ´Â njRATÀÇ À¯Æ÷ ¹æ½Ä°ú °¨¿° È帧 ±×¸®°í °ø°ÝÀÚ°¡ Ãß°¡·Î ¼³Ä¡ÇÑ ÀÌ·ÂÀÌ È®ÀεǴ ¾Ç¼ºÄÚµåµé¿¡ ´ëÇØ ´Ù·çµµ·Ï ÇÑ´Ù.
°ø°ÝÀÚ´Â ¿ÃÇغÎÅÍ ÁÖ·Î Å䷻Ʈ¸¦ ÅëÇØ njRATÀ» °ÔÀÓ ¼³Ä¡ ÇÁ·Î±×·¥°ú ÇÔ²² Æ÷ÇÔ½ÃÄÑ À¯Æ÷ÇÏ°í ÀÖÀ¸¸ç, ÃÖ±Ù¿¡´Â À¥Çϵ忡¼ À¯Æ÷ÇÏ´Â »ç·Êµµ È®ÀεȴÙ. ¹°·Ð °ø°ÝÀÚ°¡ Á÷Á¢ À¥Çϵ忡 ¾÷·ÎµåÇÑ °ÍÀÎÁö ¶Ç´Â Å䷻Ʈ¿¡¼ ´Ù¿î·Îµå ¹ÞÀº ÆÄÀÏÀ» ¾÷·Î´õ°¡ ±×´ë·Î ¾÷·ÎµåÇÑ °ÍÀÎÁö´Â ¾Ë ¼ö ¾ø´Ù. ´ÙÀ½Àº ÇöÀç ƯÁ¤ À¥Çϵ忡¼ ´Ù¿î·Îµå°¡ °¡´ÉÇÑ ¾Ç¼ºÄÚµå·Î¼, ¡°[¸Å¿ì±àÁ¤ÀûµµÆ®¾×¼Ç] lostruins-chronos¡±¶ó´Â À̸§À¸·Î °ÔÀÓ ÇÁ·Î±×·¥°ú ÇÔ²² LostRuins.zip ¾ÐÃà ÆÄÀÏ¿¡ Æ÷ÇԵǾî ÀÖ´Ù.
¡ã°ÔÀÓÇÁ·Î±×·¥°ú ÇÔ²² ´Ù¿î·ÎµåµÇ´Â ¾Ç¼ºÄÚµå[ÀÚ·á=¾È·¦]
Âü°í·Î ÀÌ »ç·Ê ¿Ü¿¡µµ Å䷻Ʈ¿¡¼ °ÔÀÓ ÇÁ·Î±×·¥¿¡ Æ÷ÇԵǾî À¯Æ÷µÇ´Â »ç·ÊµéÀÌ ´õ Á¸ÀçÇϸç, ¾Æ·¡¿Í °°ÀÌ »ó´ë °æ·Î ¹× ÆÄÀϸíµéÀ» º¸¸é µ¿ÀÏÇÑ ÇüÅÂÀÎ °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ÆÄÀÏÀº ¡®vxrlib86.dll¡¯¸¸À» ´ë»óÀ¸·Î ÇßÁö¸¸, ´Üµ¶À¸·Î ½ÇÇàµÇ´Â ÇüÅ°¡ ¾Æ´Ï´Ù º¸´Ï ½ÇÁ¦ ¾Ç¼ºÄÚµå´Â ´õ Á¸ÀçÇÑ´Ù.
\survival.z-unleashed\data\vxrlib86.dll
\hundred days – winemaking simulator\data\vxrlib86.dll
\teamfight.manager.v1.2.0\data\vxrlib86.dll
\lacuna.a.sci-fi.noir.adventure.v1.0.3\data\vxrlib86.dll
\until we die\data\vxrlib86.dll
\cardnarok – raid with gods\data\vxrlib86.dll
¾ÐÃà ÆÄÀÏÀ» Ç®¸é ´ÙÀ½°ú °°Àº ±¸¼ºÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù. °ÔÀÓÀ» ´Ù¿î·Îµå ¹ÞÀº »ç¿ëÀÚ´Â ¾ÆÀÌÄÜ ¹× ÆÄÀÏ À̸§À» º¸°í Lostruins.exe°¡ °ÔÀÓ ÇÁ·Î±×·¥ÀÏ °ÍÀ¸·Î ¿©°Ü ÇØ´ç ÆÄÀÏÀ» ½ÇÇàÇÒ °¡´É¼ºÀÌ ³ô´Ù.
¡ã¾ÐÃàÀ» ÇØÁ¦ÇÑ ÈÄ ³ª¿À´Â ÆÄÀÏ[ÀÚ·á=¾È·¦]
ÇÏÁö¸¸ Lostruins.exe ÆÄÀÏÀº ¾Ç¼ºÄÚµå ·Î´õÀ̸ç, ½ÇÁ¦ °ÔÀÓ ÇÁ·Î±×·¥ Lostruins.exeÀº Maindata.dll À̸§À¸·Î Á¸ÀçÇÑ´Ù. ·Î´õ´Â Maindata.dll°ú ¾Ç¼ºÄڵ带 ÇÔ²² ½ÇÇàÇϸç, ÀÌ¿¡ µû¶ó °ÔÀÓ°ú njRAT ¾Ç¼ºÄڵ尡 µ¿½Ã¿¡ ½ÇÇàµÇ´Â ÇüÅ´Ù. ÀÌ·¸°Ô Á¤»ó ÇÁ·Î±×·¥À¸·Î À§ÀåÇØ ½ÇÁ¦ Á¤»ó ÇÁ·Î±×·¥°ú ¾Ç¼ºÄڵ带 °°ÀÌ ½ÇÇà½ÃÅ°´Â ¹æ½ÄÀº ÀÌÀü¿¡ À¯Æ÷µÇ´Â ¹æ½Ä°ú À¯»çÇÏ´Ù.
·Î´õ Lostruins.exe¸¦ Á¶±Ý ´õ »ìÆ캸¸é, ½ÇÇà ½Ã ÇöÀç ³¯Â¥¸¦ ±¸ÇÑ ÈÄ 6¿ù 4ÀÏ ÀÌÈĺÎÅÍ´Â ¿¹¿Ü¸¦ ¹ß»ý½ÃÅ°°í Á¾·áµÇµµ·Ï ÇÏ´Â ·çƾÀÌ Á¸ÀçÇÑ´Ù. Áï, ÀÌ ¾Ç¼ºÄÚµå´Â 2021³â 6¿ù 3ÀϱîÁö¸¸ µ¿ÀÛÇÏ´Â °ÍÀÌ´Ù. ¶ÇÇÑ, ÇöÀç °æ·Î¿¡¼ ½ÇÁ¦ °ÔÀÓ ÇÁ·Î±×·¥ÀÎ ¡®Maindata.dll¡¯ ÆÄÀÏÀÌ Á¸ÀçÇÏ´ÂÁö ¿©ºÎ¸¦ °Ë»çÇÏ¸ç ¾øÀ» °æ¿ì¿¡µµ Á¾·áµÈ´Ù.
¡ã6¿ù 3ÀϱîÁö¸¸ µ¿ÀÛÇϵµ·Ï ¸¸µé¾îÁø ¾Ç¼ºÄÚµå[ÀÚ·á=¾È·¦]
ÀÌÈÄ data Æú´õ¿¡ Á¸ÀçÇÏ´Â vmxlib98.dll ÆÄÀÏ°ú vxrlib86.dll ÆÄÀÏÀ» ¡®Program Data¡¯ Æú´õ¿¡ º¹»çÇÑ ÈÄ ½ÇÇàÇÑ´Ù. ¸¶Áö¸·À¸·Î Run Key¿¡ µî·ÏÇØ ÀçºÎÆà ÈÄ¿¡µµ µ¿ÀÛÇÒ ¼ö ÀÖµµ·Ï ÇÑ´Ù. ¿©±â¿¡ »ç¿ëµÇ´Â ¹®ÀÚ¿µéÀº ÀÎÄÚµùµÇ¾î ÀÖÀ¸¸ç ½ÇÇà Áß µðÄÚµùµÇ¾î »ç¿ëµÈ´Ù. ´ÙÀ½Àº Main() ÇÔ¼öÀÇ ÀϺκÐÀ̸ç ÀÎÄÚµùµÈ ¹®ÀÚ¿À» µðÄÚµùÇÑ °á°ú´Ù.
¡ãMain ÇÔ¼ö(¹®ÀÚ¿ µðÄÚµù)[ÀÚ·á=¾È·¦]
> cmd.exe start Maindata.dll && cd data && copy /y vmxlib98.dll %PROGRAMDATA% && copy /y vxrlib86.dll %PROGRAMDATA%\vxrlib86.exe
> reg add ¡°HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run¡± /v ¡°Start¡± /t REG_SZ /d ¡°C:\Windows\System32\cmd.exe /c start C:\ProgramData\vxrlib86.exe¡± /f
°ú°Å ÇüÅ´ ¾Ç¼ºÄڵ尡 exe ÆÄÀÏ Çϳª·Î Á¸ÀçÇØ ´õºí Ŭ¸¯¸¸À¸·Î ¾Ç¼ºÄÚµåÀÇ ÇàÀ§°¡ ¹ßÇöµÆÁö¸¸, À̹ø¿¡ È®ÀÎµÈ ÇüÅ´ vxrlib86.exe ÆÄÀÏ ´Üµ¶À¸·Î ½ÇÇàÀÌ ºÒ°¡´ÉÇÏ°í vmxlib98.dll ÆÄÀÏÀÌ µ¿ÀÏ °æ·Î¿¡ ÇÔ²² Á¸ÀçÇØ¾ß ½ÇÇàµÈ´Ù. vxrlib86.exeÀÇ ·çƾÀº ´ÙÀ½°ú °°Àº ÇÔ¼ö°¡ ÀüºÎÀ̱⠶§¹®¿¡ ´Üµ¶À¸·Î´Â ½ÇÇàµÉ ¼ö ¾ø´Ù. Áï, Frp Ŭ·¡½º°¡ ±¸ÇöµÇ¾î ÀÖÁö ¾Ê¾Æ Frp Ŭ·¡½ºÀÇ Spr() ¸Þ¼Òµå¸¦ È£ÃâÇÒ ¼ö ¾ø´Ù.
ÇÏÁö¸¸ ÀÚ¼¼È÷ »ìÆ캸¸é vmxlib98 ¶óÀ̺귯¸®¸¦ ÂüÁ¶ÇÏ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ°í, µ¿ÀÏ °æ·Î¿¡ vmxlib98.dll ÆÄÀÏÀÌ Á¸ÀçÇÒ °æ¿ì ÀÌ ÆÄÀÏ¿¡ ±¸ÇöµÇ¾î ÀÖ´Â Frp Ŭ·¡½ºÀÇ Spr() ¸Þ¼Òµå¸¦ È£ÃâÇÏ°Ô µÈ´Ù.
¡ãvxrlib86.exe°¡ ÂüÁ¶ÇÏ´Â ¶óÀ̺귯¸®[ÀÚ·á=¾È·¦]
vmxlib98 ¶óÀ̺귯¸®¿¡ ±¸ÇöµÇ¾î ÀÖ´Â Spr() ¸Þ¼Òµå´Â ÀÎÄÚµùµÈ µ¥ÀÌÅ͸¦ µðÄÚµùÇÑ ÈÄ Assembly.Load() ¹× Assembly.Invoke()ÇÏ¿© ¸Þ¸ð¸®»ó¿¡¼ ½ÇÇàÇϴµ¥, º¹È£ÈµÈ °ÍÀÌ ½ÇÁ¦ njRATÀÌ´Ù.
njRATÀÇ C&C ÁÖ¼Ò : ipipip1079.kro[.]kr:449
°ø°ÝÀÚ´Â ÀÌ·¸°Ô ½Ã°£ Á¶°ÇÀ» Æ÷ÇÔÇØ °¢°¢ÀÇ ÆÄÀϵéÀÌ ´Üµ¶À¸·Î´Â ½ÇÇàµÉ ¼ö ¾øµµ·Ï ±¸ÇöÇÔÀ¸·Î½á, »÷µå¹Ú½º¿Í °°Àº º¸¾È Àåºñ¿¡¼ ¾Ç¼º ÇàÀ§¸¦ ¹ßÇöÇÏÁö ¸øÇÏ°Ô ÇÏ´Â ¹æÇØ ±â¹ýÀ» »ç¿ëÇÑ´Ù. ÀÌ·¯ÇÑ Á¡µéÀº ÀÌÀü¿¡ ¹ß°ßµÈ njRAT°ú Â÷º°µÇ´Â Á¡À̸ç, ½Ã°£ÀÌ Áö³ª¸é¼ ºÐ¼® ¹× Áø´ÜÀ» ȸÇÇÇÏ´Â ±â´ÉµéÀÌ Ãß°¡µÇ°í ÀÖ´Ù´Â »ç½ÇÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
´ÙÀ½À¸·Î´Â °ø°ÝÀÚ°¡ ÀÌ njRAT ¾Ç¼ºÄڵ带 ÀÌ¿ëÇØ °¨¿° PC¿¡ Ãß°¡·Î ¼³Ä¡ÇÑ ¾Ç¼ºÄÚµåµéÀ» ´Ù·é´Ù. ¸ÕÀú ¶Ç ´Ù¸¥ ÇüÅÂÀÇ njRATµéÀÌ ÀÖ´Ù. °ø°ÝÀÚ´Â ÆÄÀϸ¸ ´Ù¸¥ °ÍÀÌ ¾Æ´Ñ C&C ÁÖ¼Òµµ º¯°æÇØ ¼³Ä¡Çß´Ù. ÀÌ´Â ¸í·ÉÁ¦¾î(C&C) ÁÖ¼Ò°¡ Â÷´ÜµÆÀ» °æ¿ì¸¦ ´ëºñÇØ njRATÀ» Ãß°¡ÀûÀ¸·Î ¼³Ä¡Çϱâ À§ÇÑ ¸ñÀûÀ¸·Î ÃßÁ¤µÈ´Ù.
Ãß°¡ njRAT 1ÀÇ C&C ÁÖ¼Ò : discordpff.kro[.]kr:449
Ãß°¡ njRAT 2ÀÇ C&C ÁÖ¼Ò : dltlgn071105.kro[.]kr:1
±×¸®°í NirSoftÀÇ WebBrowserPassView ÅøÀ» ¼³Ä¡ÇÏ°í ½ÇÇàÇÑ ÀÌ·ÂÀÌ Á¸ÀçÇÑ´Ù. ÇØ´ç ÇÁ·Î±×·¥Àº À̸§°ú °°ÀÌ À¥ ºê¶ó¿ìÀú¿¡ ÀúÀåµÇ¾î ÀÖ´Â °èÁ¤ Á¤º¸¸¦ ÃßÃâÇØ º¸¿©ÁÖ´Â ÇÁ·Î±×·¥ÀÌ´Ù. °ø°ÝÀÚ°¡ /stext ÀÎÀÚ¸¦ ÁÖ°í ½ÇÇà½ÃÄÑ GUI ¾øÀÌ ÃßÃâÇÑ °èÁ¤ Á¤º¸¸¦ ÅؽºÆ® ÆÄÀÏ ÇüÅ·Π¸¸µé ¼ö ÀÖ´Ù. ÀÌ¿¡ µû¶ó WebBrowserPassView´Â °ø°ÝÀÚ¿¡ ÀÇÇØ ÀÚÁÖ »ç¿ëµÇ°í ÀÖÀ¸¸ç, ´ëÇ¥ÀûÀ¸·Î HawkEye Å°·Î°Åµµ WebBrowserPassView¸¦ /stext ÀÎÀÚ¿Í ÇÔ²² »ç¿ëÇÑ´Ù.
½ÇÁ¦·Î ½ÇÇà½ÃŲ Ä¿¸Çµå¶óÀÎÀ» º¸¸é WebBrowserPassView¸¦ nirsoft.exe¶ó´Â À̸§À¸·Î ¼³Ä¡ÇÏ°í °¨¿° PCÀÇ À¥ ºê¶ó¿ìÀú °èÁ¤ Á¤º¸¸¦ browser.txt ÆÄÀÏ·Î »ý¼ºÇÏ´Â °ÍÀ» È®ÀÎÇÒ ¼ö ÀÖ´Ù.
> cmd.exe /c c:\users\[»ç¿ëÀÚ¸í]\appdataoamingirsoft.exe /stext c:\users\[»ç¿ëÀÚ¸í]\appdataoaming\browser.txt
°ø°ÝÀÚ´Â njRAT ¾Ç¼ºÄÚµå ¿Ü¿¡µµ Simple UDP RatÀ̶ó´Â °£´ÜÇÑ ÇüÅÂÀÇ RAT ¾Ç¼ºÄڵ带 ¼³Ä¡Çß´Ù. Simple UDP RatÀº ´ÙÀ½°ú °°ÀÌ ±êÇãºê¿¡µµ Á¸ÀçÇÏ´Â ¿ÀǼҽº DDoS RAT ¾Ç¼ºÄÚµå´Ù.
¡ãSimple UDP Rat[ÀÚ·á=¾È·¦]
ÇØ´ç ¾Ç¼ºÄÚµå´Â UDP DDoS °ø°Ý¸¸ Áö¿øÇÏ´Â °£´ÜÇÑ ÇüÅÂÀÇ ¾Ç¼ºÄÚµåÀ̸ç, ºô´õ°¡ Á¸ÀçÇÏ´Â ÇüÅ°¡ ¾Æ´Ï¶ó ¼Ò½º ÄÚµå·Î Á¸ÀçÇϱ⠶§¹®¿¡ °ø°ÝÀÚ°¡ Á÷Á¢ ºôµåÇØ¾ß ÇÑ´Ù. ´ÙÀ½Àº °ø°ÝÀÚ°¡ Simple UDP RatÀ» ºôµåÇÒ ¶§ »ý¼ºµÈ pdb °æ·Î´Ù. Âü°í·Î UDPnetÀ̶ó´Â Å°¿öµå¸¦ ÅëÇØ °Ë»öÇغ¸¸é ±¹³»¿¡¼ ¿ÀÇ ¼Ò½º Simple UDP RatÀ» °ø°Ý Åø·Î ÆǸÅÇÑ ÀÌ·ÂÀÌ ÀÖ¾ú´ø °ÍÀ» ÃßÁ¤ÇÒ ¼ö ÀÖ´Ù.
¡ã°ø°ÝÀÚÀÇ PDB Á¤º¸[ÀÚ·á=¾È·¦]
– C:\Users\tomag\OneDrive\¹ÙÅÁ ȸé\Vexxie\³»°¡Å©·¢ÇÑ Åø\UDPNET ¼Ò½º\Simple-UDP-Rat-master\Client\x64\Release\Client.pdb
– C:\Users\Administrator\Desktop\UDPnet ±èµþµþ Àü¿ë\UDPnet ±èµþµþ\Client\x64\Debug\Client.pdb
ƯÀÌ»çÇ×ÀÌ ÀÖ´Ù¸é Simple UDP Rat »ùÇà Áß Çϳª´Â Win32/Neshta ¹ÙÀÌ·¯½º¿¡ °¨¿°µÈ ÇüÅ·ΠnjRAT¿¡ ÀÇÇØ ¼³Ä¡µÆ´Âµ¥, ÀÌ´Â °ø°ÝÀÚÀÇ Àǵµº¸´Ù´Â °ø°ÝÀÚ PC°¡ Neshta ¹ÙÀÌ·¯½º¿¡ °¨¿°µÇ¾î ÀÖ¾úÀ» °¡´É¼ºÀÌ ³ô´Ù.
¡ã¡®run away¡¯ ¸Þ½ÃÁö ¹Ú½º[ÀÚ·á=¾È·¦]
¾È·¦ ASEC ºÐ¼®ÆÀÀº ¡°Å䷻Ʈ ¹× ±¹³» À¥ÇÏµå µî ÀÚ·á °øÀ¯ »çÀÌÆ®¸¦ ÅëÇØ njRAT ¾Ç¼ºÄڵ尡 È°¹ßÇÏ°Ô À¯Æ÷µÇ°í ÀÖ¾î »ç¿ëÀÚÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù¡±¸é¼, ¡°ÀÚ·á °øÀ¯ »çÀÌÆ®¿¡¼ ´Ù¿î¹ÞÀº ½ÇÇàÆÄÀÏÀº °¢º°È÷ ÁÖÀÇÇØ¾ß Çϸç, À¯Æ¿¸®Æ¼ ¹× °ÔÀÓ µîÀÇ ÇÁ·Î±×·¥Àº ¹Ýµå½Ã °ø½Ä ȨÆäÀÌÁö¿¡¼ ´Ù¿î·ÎµåÇÏ´Â °ÍÀ» ±ÇÀåÇÑ´Ù¡±°í Á¶¾ðÇß´Ù.
[¿øº´Ã¶ ±âÀÚ(boanone@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>