지속적으로 공격에 사용 중인 사설 HTS 프로그램
페이지 정보
조회1270회본문
AhnLab SEcurity intelligence Center(ASEC)은 과거 “Quasar RAT을 유포하는 사설 HTS 프로그램” 블로그를 통해 사설 홈트레이딩시스템(HTS : Home Trading System)을 통해 Quasar RAT을 유포하는 공격 사례를 다룬 바 있다. 동일한 공격자는 지속적으로 악성코드를 유포하고 있으며 최근까지도 공격 사례가 확인된다.
악성코드는 과거와 동일하게 HPlus라는 이름의 HTS를 유포하였으며 전체적인 감염 흐름은 유사하지만 NSIS 인스톨러 형태였던 최초 유포 파일 대신 MSI 포맷의 인스톨러가 사용된 점이 차이점이다. 참고로 최근 공격자는 원격 지원도 지원하고 있는데 사용자가 원격 지원을 요청할 경우를 대비하여 “원격지원” 버튼을 클릭할 때 함께 설치된 AnyDesk가 실행된다.
일반적으로 사용자는 설치 이후 바탕화면에 설치된 바로가기를 실행할 것이며 이에 따라 업데이터 프로그램인 “Asset.exe”이 실행된다. “Asset.exe”는 동일 경로에 위치한 “config.ini” 파일을 읽어와 업데이터 서버에 접속하여 FTP 프로토콜을 이용해 업데이트를 진행한다. 공격자는 “config.ini” 파일을 조작하여 실제 악성코드가 업로드된 FTP 서버로 설정하였으며 이에 따라 악성코드가 포함된 압축 파일이 다운로드되어 설치된다.
다운로드된 압축 파일 내부에서 “StockProh.exe”가 기존처럼 런처 기능을 담당하며 “Socketmanager240714.exe”는 런처가 실행될 때 함께 실행되는 Quasar RAT이다.
사기집단들은 과거 피해자들의 투자금을 가로채는 수단으로서 사설 HTS를 사용하였지만, 최근에는 피해자 PC에 악성코드를 설치하는 용도로 사용하고 있다. 이에 따라 피해자들은 과거에는 단순하게 투자금을 돌려받지 못하는 것에 그쳤다면, 이제는 함께 설치되는 Quasar RAT을 통해 공격자가 PC를 제어할 수 있게 되어 개인 정보 탈취를 포함한 추가적인 피해를 입을 수 있다.
금융감독원에 따르면 “제도권 금융회사라면 메신저 등을 통해 사설 HTS를 배포하지 않는다”고 한다. [1] 사용자들은 공식 홈페이지를 통해 제도권 금융회사들이 제공하는 HTS를 설치하여야 한다. 수익을 목적으로 불법 금융 투자 업체들을 통해 사설 HTS를 설치할 경우 투자금 손실뿐만 아니라 악성코드에 감염되어 시스템에 저장되어 있는 사용자의 개인 정보들을 탈취당할 수 있다.
사용자들은 설치된 소프트웨어를 최신 버전으로 패치하여 취약점 공격을 사전에 방지해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
Trojan/Win.Injector.R657268 (2024.07.05.00)
Trojan/Win.Injector.R657891 (2024.07.11.02)
Trojan/Win.Injector.C5649697 (2024.07.14.03)
Trojan/Win.Launcher.R657892 (2024.07.11.02)
Trojan/Win.Launcher.R658117 (2024.07.14.03)
행위 진단
Fileless/MDP.Inject.M4878
Fileless/MDP.Inject.M4876
IOC
MD5
3F1B0FF74433EC2ACEDD93A5BFEF8E0C
3E0963FC309A94F182A33037BEF8E44B
32CB22B72A50F887805541C4AFAA34A5
2652ADCC83237B04102CA1D47908FF6C
A439E91D29611FB87BE0CCE22AA4D442
C2
43.201.97[.]239:24879
103.136.199[.]131:56001
댓글목록
등록된 댓글이 없습니다.