VPN 설치파일 내려받아 실행할 경우 정상 VPN 인스톨러와 함께 악성코드 설치
안랩 ASEC 분석팀, 과거에도 동일한 VPN 인스톨러에서 SparkRAT 악성코드 유포

[보안뉴스 김영명 기자] 국내 VPN(Virtual Private Network) 프로그램의 인스톨러에 SparkRAT 악성코드가 포함돼 다시 유포된 것으로 드러났다. 해당 VPN은 주로 중국에서 원활한 인터넷 접속이 필요한 사람들이 설치했던 사례가 많았는데, 과거에도 SparkRAT 악성코드 유포로 문제가 불거져 조치가 완료된 바 있다. 하지만 최근 같은 VPN 업체의 인스톨러에서 SparkRAT을 설치하는 악성코드가 다시 유포된 사례가 확인됐다. 악성코드 유포는 일정 기간 이후 중단됐는데, 공격 흐름의 유사성이나 공격 과정에서 SparkRAT 악성코드가 사용된 점 등으로 동일한 공격자의 소행으로 추정된다.

LINK

안랩 ASEC 분석팀은 최근 다시 확인되고 있는 SparkRAT 공격 사례를 전파했다. 이번 사례는 재등장한 닷넷으로 개발된 패커 대신 Go 언어로 개발된 드로퍼 악성코드들이 사용됐다는 점이나 추가로 원격 데스크톱 기능 구현을 위해 MeshCentral의 MeshAgent를 설치하는 점이 다르다는 게 ASEC 분석팀의 설명이다.

SparkRAT의 최초 유포 방식은 과거와 동일하게 VPN 업체의 웹사이트를 공격해 설치파일을 악성코드로 변경한 것으로 보인다. 이에 따라 사용자가 VPN 설치파일을 내려받아 실행할 경우 기존 정상 VPN 인스톨러와 함께 악성코드가 설치됐다.

SparkRAT 악성코드 설치 과정의 흐름을 보면 악성 인스톨러가 생성한 다운로더 악성코드가 SparkRAT을 다운로드한다. 공격자는 그 이후 SparkRAT에 악성 명령을 전달해 감염 시스템에 MeshAgent를 추가로 설치했다. 설치된 MeshAgent는 원격제어 페이지에 접속해 자신을 관리 대상 에이전트로 등록, 공격자는 MeshCental 공개 서버에서 등록된 장치를 제어할 수 있게 된다.

  * 이하 기사 전문은 https://www.boannews.com/media/view.asp?idx=118451&kind=&sub_kind= 에서 확인 가능합니다.