Home > 전체기사

사용자 모르게 원격제어 악성코드 설치... 사설 HTS 프로그램 주의보

  |  입력 : 2023-01-31 13:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
위장 금융투자 업체 통해 HPlus HTS 설치...RAT 악성코드로 원격으로 악의적 행위 가능
증권사들이 제공하는 HTS와 구분하기 힘들 정도로 유사하게 제작돼


[보안뉴스 김영명 기자] 최근 사설 홈트레이딩 시스템(HTS: Home Trading System)을 통해 콰사르랫(Quasar RAT) 악성코드가 유포되고 있는 것이 확인됐다. 공격에 사용된 HPlus라는 이름의 HTS는 검색으로 정보를 찾을 수 없었으며, 프로그램 정보나 인증서에 회사 이름도 명시돼 있지 않다.

▲설치 경로 및 생성된 파일들[자료=안랩 ASEC 분석팀]


안랩 ASEC 분석팀에 따르면 해당 HTS는 설치과정에서 확인되는 약관에도 업체 이름이 확인되지 않아 피해자들은 제도권 금융회사에서 제공하는 HTS가 아닌 무인가 또는 위장 금융투자 업체를 통해 HPlus HTS를 설치한 것으로 추정된다. 사설 HTS가 설치하는 콰사르랫은 원격제어 악성코드(RAT: Remote Access Trojan 악성코드)로서 공격자가 감염 시스템에 대한 제어 권한을 획득해 정보를 탈취하거나 악의적인 행위를 수행할 수 있다.

홈트레이딩시스템(HTS)은 투자자가 주식을 사고 팔기 위해 증권사 객장에 나가거나 전화를 거는 대신 집이나 사무실에 설치된 PC를 통해 거래할 수 있는 시스템이다. 일반적으로 과거와 달리 요즘은 개인 대부분이 주식이나 펀드, 선물과 같은 금융 상품을 거래할 때 스마트폰이나 PC에 HTS를 설치해 온라인으로 거래하고 있다.

대부분의 경우 사용자는 제도권 금융회사들이 제공하는 HTS를 설치하고 해당 업체를 통해 금융거래를 진행한다. 하지만 최근에는 불법 금융투자 업체들이 합법적인 금융회사로 가장해 사설 HTS를 설치하도록 유도한 뒤 투자금을 가로채는 사건이 발생하고 있다.

다수의 무인가 금융투자 업체들은 인터넷 광고나 문자메시지 광고를 통해 사용자를 속인 후 카카오톡과 같은 SNS 단체 대화방으로 가입을 유도한다. 일반적으로 소액의 증거금만으로 해외선물 거래가 가능하다는 점이나 수수료 면제, 대출과 같은 광고를 사용하는 것으로 알려졌다. 대화방 운영자는 모집한 사용자들에게 사설 HTS를 설치하고 투자금을 입금하도록 유도한다.

사설 HTS를 이용하는 사기집단들은 다양한 방식으로 사용자들의 투자금을 가로채는데, 예를 들어 수익이 발생하는 것처럼 속인 다음 투자자가 출금을 요구하면 연락을 끊고 잠적하기도 한다. 또한, 투자자가 예치금을 넣도록 유인한 후, 예치금 전액을 거래 수수료 명목으로 가로채는 경우도 있었다. 사기 행위에 사용되는 사설 HTS들은 사용자가 정상적인 거래가 발생하고 있는 것처럼 인식시키기 위해 증권사들이 제공하는 HTS와 유사하게 제작하고 있다.

이러한 가운데 최근 콰사르랫 악성코드가 사설 HTS 위장 프로그램을 통해 유포되고 있는 것이 확인된 것이다. 폐쇄적인 단체 대화방을 통해 설치를 유도하는 사설 HTS의 특성상 어떤 경로로 설치됐는지 여부는 확인이 어렵지만, 안랩 ASEC 분석팀에서 최초 인스톨러를 확보할 수 있었다는 설명이다.

해당 악성코드가 설치된 경로를 확인한 결과, ‘Private’와 ‘VIP’ 키워드가 포함된 경로가 존재했으며, 이는 해당 불법 금융투자 업체에서 유포한 것으로 보인다. 이어 ‘선물’이라는 키워드를 통해 소액의 증거금만으로 해외 선물 거래가 가능하다는 광고를 통해 사용자들을 모집한 것으로 추정된다.

▲악성코드 설치 흐름[자료=안랩 ASEC 분석팀]


최초 설치 프로그램은 ‘HPlusSetup.exe’라는 이름을 갖는 NSIS(Nullsoft Scriptable Install System) 인스톨러다. HPlus라는 이름의 사설 HTS는 적어도 2016년부터 존재했던 것으로 추정된다. 설치가 완료되면 설치 경로에서 여러 파일들을 확인할 수 있다. 여기에서 악성 파일은 업데이트 서버 주소가 존재하는 ‘config.ini’ 파일이다.

설치가 끝난 후 최초로 실행되는 프로그램은 ‘Asset.exe’이며, 바로가기 파일도 ‘Asset.exe’ 파일을 실행하는 역할을 한다. 런처이자 업데이트 프로그램인 ‘Asset.exe’는 실행 시 동일한 경로에 존재하는 ‘config.ini’ 파일을 읽어오고 업데이트 서버 주소를 획득해 현재 최신 버전인지를 검사한다. 만일 최신 버전이 아니라면 업데이트 파일을 내려받아 설치한다.

공격자는 ‘config.ini’ 파일의 내용을 악성코드가 업로드돼 있는 FTP 서버 주소로 설정한 후 설치 파일을 유포한 것으로 추정된다. 이를 통해 악성코드가 포함된 업데이트 압축 파일을 내려받고 사용자 환경에 콰사르랫을 설치하는 것이다.

참고로 사설 HTS인 HPlus가 과거 언제부터 악성코드를 설치했는지는 확인되지 않았지만, 최소 2016~2017년에 사용된 것을 확인했으며, 이후 다시 최근에 콰사르랫을 설치하는 악성코드로서 유포되기 시작했다는 걸 확인할 수 있었다는 게 안랩 ASEC 분석팀의 설명이다.

콰사르랫 악성코드의 업데이트 과정을 보면, 먼저 사용자가 최초로 실행하는 ‘Asset.exe’는 사설 HTS를 실행하는 런처이자, 최신 버전인지를 확인하고 아닐 경우 업데이트를 수행하는 업데이트 프로그램이다. 이를 위해 실행 시 먼저 업데이트 서버 주소를 구하는데, 해당 주소는 동일 경로에 위치하는 ‘config.ini’ 파일에 존재한다. ‘config.ini’ 파일을 확인하면 수많은 알 수 없는 숫자들이 존재하는데, 특정 위치의 숫자가 명령제어(C&C) 서버의 IP 주소다. 즉, 하드코딩된 특정 위치의 숫자가 C&C 주소로서, 예를 들어 446, 409, 408번째 숫자는 ‘1’, ‘0’, ‘3’이다.

▲C&C 주소가 포함된 config.ini 파일(좌) 및 각 위치에 존재하는 숫자로 C&C 주소 생성(우)[자료=안랩 ASEC 분석팀]


C&C 서버의 포트 번호는 ‘Asset.exe’ 파일에 하드코딩돼 있는데, ‘Asset.exe’ 파일이 2016년경에 수집된 것으로 추정했을 때 공격자는 이것을 그대로 사용하기 위해 기존 ‘Asset.exe’ 파일의 포트 번호로 설정한 것으로 보인다. 이외에도 위에서 언급한 설정 파일에 존재하는 C&C 서버 주소의 각 위치, FTP 서버의 계정 정보도 ‘Asset.exe’ 파일에 하드코딩돼 있다. 이는 공격자가 악성코드 유포를 위해 과거와 같은 포트 번호 및 계정 정보를 사용했음을 의미한다.

‘Asset.exe’는 업데이트 서버에서 ‘NewVer.ver’ 파일을 내려받은 뒤 동일 경로에 존재하는 ‘LocalVer.ver’ 파일과 비교해 최신 버전인지를 검사한다. 최신 버전이 아닐 경우에는 ‘NewVer.ver’ 파일에 설정돼 있는 최신 버전 압축 파일을 내려받아 같은 경로에 설치한다.

▲하드코딩 돼 있는 FTP 계정 정보(좌) 및 FTP 서버에서 업데이트 파일 다운로드(우)[자료=안랩 ASEC 분석팀]


다운로드된 압축 파일 내부의 ‘StockProForHplus2.exe’는 기존의 HTS 프로그램인 ‘StockProForHplus.exe’에 런처 기능이 추가된 악성코드다. 현재 소스 코드는 확인되지 않지만, 최근 유포 중인 ‘StockProForHplus2.exe’에 공격자가 지정한 기능이 포함된 것으로 보아 공격자가 해당 소스 코드를 확보한 것으로 추정된다. 수집된 ‘StockProForHplus.exe’ 파일들은 다양한 PDB(Program Database) 정보를 갖고 있는 것으로 보아 HPlus의 소스 코드가 현재 판매 또는 공유되고 있는 것으로 보인다.

▲다운로드된 압축 파일(좌) 및 실행된 HPlus HTS(우)[자료=안랩 ASEC 분석팀]


‘HPlus_client_2.0.6.zip’ 파일에 존재하는 ‘StockProForHplus2.exe’ 파일에는 HTS 기능 외에 콰사르랫, 즉 ‘HPlusSocketManager20221208.exe’ 파일을 실행하는 기능이 추가돼 있다. 참고로 마이크로소프트 윈도 디펜더 예외 경로를 추가하는 명령이 함께 존재하는 파일들도 있다

‘StockProForHplus2.exe’는 콰사르랫을 실행하는 런처이지만, 기본적으로는 HPlus HTS다. 이번 분석 과정에서 회원가입 및 로그인은 진행하지 않았지만, 기존에 존재하던 프로그램이다 보니 사용자를 속이기 위해 로그인 이후에도 일반적인 HTS와 유사하게 동작할 것으로 추정된다. 회원가입 버튼을 클릭할 시 보여주는 이용약관에 따르면 △국내외 파생상품 관련 정보제공 서비스 △국내외 파생상품 관련 전문가 발굴 및 분석전략 △게시판, 동호회, 채팅 서비스 △메일링 서비스 △금융시장 관련 정보제공 서비스 △기타 등의 서비스를 제공한다고 한다.

‘HPlusSocketManager20221208.exe’는 ‘vbc.exe’를 실행하고 콰사르랫을 인젝션한다. 이에 따라 콰사르랫은 정상 프로세스인 ‘vbc.exe’의 메모리 상에서 동작한다.

▲난독화된 Quasar RAT 악성코드[자료=안랩 ASEC 분석팀]


콰사르랫은 닷넷으로 개발된 오픈소스 RAT 악성코드다. 일반적인 RAT 악성코드들처럼 프로세스와 파일, 레지스트리와 같은 시스템 작업, 원격 명령 실행, 파일 업로드 및 다운로드와 같은 기능들을 제공한다. 콰사르랫은 이외에도 키로깅, 계정 정보 수집 기능들을 제공해 사용자 환경의 정보를 탈취할 수 있고, 원격 데스크톱을 통해 실시간으로 감염 시스템의 제어가 가능하다. 이에 따라 HPlus HTS를 설치한 사용자들은 공격자에 의해 언제든 계정 정보를 포함한 다양한 개인정보들을 탈취당할 수 있다.

▲콰사르랫이 제공하는 기능들[자료=안랩 ASEC 분석팀]


사기 집단들은 과거 피해자들의 투자금을 가로채는 수단으로 사설 HTS를 사용했지만, 최근에는 피해자 PC에 악성코드를 설치하는 용도로 사용하고 있다. 피해자들은 과거에는 단순하게 투자금을 돌려받지 못하는 데 그쳤다면, 이제는 함께 설치되는 콰사르랫을 통해 공격자가 PC를 제어할 수 있게 돼 개인정보 탈취를 포함한 추가적인 피해를 당할 수 있다.

안랩 ASEC 분석팀은 “금융감독원에 따르면 제도권 금융회사는 사설 HTS를 배포하지 않기 때문에 사용자들은 공식 홈페이지를 통해 제도권 금융회사들이 제공하는 HTS를 설치해야 한다”며 “사설 HTS를 설치할 경우 투자금 손실뿐만 아니라 악성코드에 감염돼 시스템에 저장된 사용자 개인 정보들을 탈취당할 수 있다”고 말했다. 이어 “사용자들은 설치된 소프트웨어를 최신 버전으로 패치해 취약점 공격을 사전에 방지하고, V3를 최신 버전으로 업데이트해 악성코드의 감염을 사전에 차단할 수 있도록 신경써야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 시큐아이 위즈디엔에스 2018
설문조사
오픈AI가 개발한 인공지능 챗봇 챗GPT가 GPT4 버전까지 나오면서 디지털 혁신의 촉매재 역할을 하고 있습니다. 보안 분야에서도 챗GPT로 인해 보안위협이 가속화될 것이라는 전망과 함께 보안업무에 효과적으로 활용된다면 보안대응 역량 향상에도 크게 기여할 것이라는 의견도 제기됩니다. 이에 대한 여러분들의 생각은 어떠신가요?
챗GPT 악용으로 인해 보안위협이 더욱 고도화되고 증가할 것
챗GPT를 악용하는데 한계가 있어 보안위협이 소폭 늘어나는 추세에 그칠 것
챗GPT 활용에 따라 보안대응 업무에 적지 않은 도움이 될 것
챗GPT의 적극적인 도입 및 적용 통해 보안대응 역량이 획기적으로 향상될 것
보안위협 또는 보안대응과 관련해서는 큰 영향이 없을 것
기타(댓글로)