ASEC 분석팀은 스팸 메일을 통해 유포되는 RAT형 악성코드 ‘렘코스’를 발견했다. 해당 악성코드에 감염되면 공격자가 키로깅, 웹 브라우저 히스토리 및 비밀번호 추출 등 다양한 악성 행위를 원격으로 수행할 수 있어 사용자들의 주의가 요구된다.

렘코스(Remcos)는 RAT(Remote Administration Tool) 유형의 악성코드로, 수년 전부터 스팸 메일을 통해 꾸준히 유포되고 있다. 렘코스 악성코드 제작자는 아래와 같은 웹사이트를 통해 악성코드를 원격 관리를 위한 RAT 도구로 설명하면서 판매하고 있으며, 최신까지도 주기적으로 업데이트 되고 있다.

[그림 1] 렘코스 악성코드 홈페이지

렘코스 홈페이지에서 설명되는 기능들을 보면, 원격 지원을 위한 목적으로 또는 도난 시 민감한 데이터를 삭제하거나 추적하는 목적으로도 사용 가능하다고 기재되어 있다. 물론, 이러한 기능들이 지원되는 것은 사실이다.

하지만 키로깅, 스크린샷 캡쳐, 웹캠, 마이크 제어뿐 아니라 설치된 시스템에 존재하는 웹 브라우저의 히스토리 및 비밀번호 추출 기능 등 악의적으로 사용 가능한 다양한 기능들이 존재한다. 또한, 인젝션과 사용자가 인지하지 못하도록 백그라운드에서 정상 프로그램으로 위장해 실행되도록 하는 옵션들도 있다. 이 밖에, 다양한 감염 봇들을 제어하기 위한 UI도 일반적인 RAT 형태의 악성코드와 유사하다.

[그림 2] 렘코스 v2.6.0 Light 버전

유포 방식

현재 확인되는 렘코스 RAT는 대부분 아래와 같은 스팸 메일을 통해 유포되고 있다.

[그림 3] amazon 배송 이메일을 위장한 스팸 메일

[그림 4] 견적, 구매 이메일을 위장한 스팸 메일

첫 번째 이메일은 직접적인 첨부 파일 형태로, Amazon Detail.img 파일의 압축을 풀면 exe 형태의 렘코스 RAT 악성코드를 확인할 수 있다. 두 번째 이메일은 악성 매크로가 포함된 엑셀 파일이 첨부되어 있다. 이 엑셀 파일을 실행하고 매크로를 활성화하면 외부에서 렘코스 RAT을 다운로드 받아 실행하는 방식이다.

[그림 5] 매크로 활성화를 유도하는 악성 엑셀 파일

위 스팸 메일들은 영어로 작성되어 있어, 국내 사용자를 직접적으로 노리는지 여부는 확실치 않지만, 다음과 같이 한글 파일명도 있는 점을 미뤄볼 때 국내 사용자들도 공격 대상에 포함되는 것으로 보인다.

렘코스 RAT 악성코드 파일명

\발주서(lkp-2010-024)\po.exe

\발주서(lkp-2020-027)(lkp-2020-027).exe

\요청자료목록(lkp-2020-027).exe

견적서 – ACE international 2.exe

첨부문서.exe

20co08301 – 첨부문서.exe

Advanced Pacific Trading – purchase order list.exe

DHL-Shipping_Documents0010201.exe

KONTEC QUOTE B1018530.exe

Payment.exe

PDF_Tosoh-Inquiry.exe

PI20200206APO#4567811,zip.exe

PO 456123489.exe

Quotation 52908.exe

SHIPPING-DOCUMENTS-DOC0012HD83-001HDU37.exe

Ton-Keep Co- Purchase Order.exe

이와 같은 파일명은 에이전트테슬라(AgentTesla), 폼북(Formbook), 아베마리아(AveMaria) 등 스팸 메일을 통해 유포되는 다른 악성코드들과 유사하다. 또, 접수되는 유형들이 대부분 진단을 우회하기 위해 닷넷 외형의 패커로 패킹되어 있는 점도 동일하다.

유포 파일 버전

렘코스 RAT 제작자는 꾸준히 기능을 업데이트하고 있으며, 현 최신 버전은 2020년 10월 22일 공개된 v2.7.2이다. 다음은 버전 별 릴리즈 날짜이다.

v2.5.0 – 2019.09.20

v2.5.1 – 2020.06.05

v2.6.0 – 2020.07.10

v2.7.0 – 2020.08.10

v2.7.1 – 2020.09.14

v2.7.2 – 2020.10.22

렘코스 RAT는 앞서 언급한대로 진단을 우회하기 위해 패킹되어 유포되는데, 내부에 있는 실제 바이너리를 추출하면 원본 악성코드를 확인할 수 있다. 추출된 원본 바이너리에는 버전 정보가 하드 코딩되어 있어 어떤 버전의 빌더를 활용해 생성되었는지도 확인할 수 있다.

ASEC 분석팀은 올해 하반기에 접수된 렘코스 RAT 악성코드에 대해 버전 정보를 추출했으며, 그 통계는 다음과 같다.

 
[표 1] 렘코스 RAT 버전 정보

접수된 렘코스 RAT의 버전을 보면, 릴리즈에 맞춰 버전 정보가 올라가는 것을 볼 수 있다. 공격자들은 악성코드의 공식 버전을 이용해 빌드하며, 업데이트마다 최신 버전을 유지하는 경향이 있는 것으로 추정된다.

렘코스 RAT는 Light 버전도 있지만 모두 Pro 버전이 사용된다. 그 이유는 Light 버전은 악의적으로 사용 가능한 기능들이 모두 비활성화되어 있으며, 사용자의 눈에 띄지 않고 백그라운드로 실행시키는 것도 불가능하기 때문이다.

또한 1.7 Pro 버전이 꾸준히 일정 비율을 차지하고 있는데, 이는 해당 버전에 대한 크랙(Crack) 버전이 공개되어 있기 때문이다. 최신 버전을 사용하는 공격자들도 있는 반면, 과거 공개된 크랙 버전을 공격에 이용하는 공격자들도 있다.

[파일 진단]

Trojan/Win32.Remcos.C4227198 (2020.11.18.05)

[행위 진단]

Malware/MDP.Behavior.M3108

[IOC]

– 파일 MD5 : 711fa3db79a40db1b2724b451e805464

– C&C : 185.19.85[.]149:6667

렘코스 RAT 악성코드에 대한 자세한 사항은 ASEC 블로그를 통해 확인할 수 있다.

▶ASEC 블로그 바로가기