국내 유명은행 보안메일을 사칭한 RemcosRAT 악성 이메일 주의!!
최근 국내 유명 은행 보안메일을 사칭한 악성 이메일이 발견되어 사용자들의 주의가 필요합니다.
이번에 발견된 메일은 "보안메일"이라는 제목을 사용하며, 실제 해당 은행에서 보내는 보안메일과 유사하게 제작되었습니다.
보안메일 프로그램처럼 보이는 첨부 파일은 “PDF 문서 아이콘”으로 위장하여 사용자가 다운로드하여 실행 시 악성 행위를 시작합니다.
악성파일은 Remcos Rat 1.7 Pro 버전으로 확인되었으며 진단을 우회하기 위해 .NET을 이용하였으나, 내부 악성 모듈을 추출하면 버전 정보가 하드코딩되어 있습니다.
Remcos 악성코드는 명령제어 악성코드로, C&C 통신 이후 공격자 명령에 따라 다음과 같은 기능을 수행합니다.
명령어 | 설 명 |
filemgr, upload, rename, deletefile, downloadfromurltofile | 파일관리 (업로드, 다운로드, 파일명변경, 파일삭제) |
regopened, regcreatekey, regeditval, regdelkey, regdelval, regopen, initregedit | 레지스트리 관리(값 및 키 추가, 편집, 이름 바꾸기, 삭제) |
getproclist, prockill | 프로세스 관리 (프로세스 리스트 및 종료) |
keyinput | 키로깅 |
consolecmd, execcom, cmdoutput, sendfiledata | 셸 명령 실행 및 결과 업로드 |
scrcap | 화면 스크린샷 |
OSpower | 시스템 종료 및 재시작 |
이외에도 사용자 PC에 동작 중인 브라우저(Internet Explorer, Chrome, Firefox)의 쿠키 데이터와 로그인 정보를 수집합니다.
현재 알약에서는 해당 악성코드에 대해 Backdoor.Remcos.A 로 탐지 중에 있으며, 관련 IoC는 Threat Inside에서 확인하실 수 있습니다.
