전자책으로 위장하여 유포되는 AsyncRAT

1. 개요 1. 剧情梗概

AhnLab SEcurity intelligence Center(ASEC)은 과거 블로그에서 AsyncRAT가 다양한 확장자(.chm, .wsf, .lnk)를 통해 유포된 사례를 소개한 바 있다. [1] [2]
AhnLab SEcurity intelligence Center （ASEC） 发布了一系列关于 AsyncRAT 如何通过各种扩展名（.chm、.wsf .lnk）分发的博客。[1] [2]

위에 언급한 블로그에서 공격자는 악성코드를 은폐하기위해 ‘설문 조사’ 내용의 정상 문서 파일을 미끼 파일로 활용하는 것을 확인할 수 있는데, 최근에는 전자책을 위장하여 악성코드가 유포된 사례가 확인되었다.
在上述博客中，可以看出攻击者使用带有“调查”内容的普通文档文件作为诱饵文件来隐藏恶意软件，最近已经证实恶意软件已经以电子书为幌子进行分发。

2. 스크립트를 기반으로 실행되는 악성코드
2. 基于脚本运行的恶意软件

전자책으로 위장한 압축 파일 내부에는 압축 파일 아이콘으로 위장한 악성 LNK 파일과 악성 파워쉘 스크립트를 포함한 텍스트 파일, 동영상 확장자로 위장한 추가 압축파일, 정상 전자책 파일이 존재한다. LNK 파일에는 악성 명령어가 포함되어 있으며, 파워쉘 스크립트가 포함되어 있는 RM.TXT 파일을 읽어와 실행한다.
在伪装成电子书的存档中，有一个伪装成压缩文件图标的恶意 LNK 文件、一个包含恶意 PowerShell 脚本的文本文件、一个伪装成视频扩展名的附加存档和一个合法的电子书文件。LNK 文件包含恶意命令，读取并执行包含 PowerShell 脚本的RM.TXT文件。

RM.TXT 파일은 악성 파워쉘 스크립트를 은폐하기 위해 대부분이 의미없는 문자열로 이루어져 있다. 실질적인 스크립트는 다운로더 악성코드를 포함한 폴더를 숨김 속성으로 변경하고, 난독화 된 스크립트를 실행한다.
RM.TXT文件大多由无意义的字符串组成，以掩盖恶意 PowerShell 脚本。实质性脚本将包含下载器恶意软件的文件夹更改为隐藏属性，并执行混淆脚本。

난독화 된 스크립트는 시스템 내에 존재하는 보안 제품을 탐색하고 결과에 따라서 동영상 확장자로 위장한 압축 파일 내부 악성코드를 실행한다.
混淆脚本检测系统中存在的安全产品，并相应地在伪装成视频扩展的压缩文件中执行恶意软件。

2.1. Method1 2.1. 方法1

Method1 함수는 4.mkv의 압축을 해제한 뒤, “NTUSER.BAT{428f9636-1254-e23e3-ada2-03427pie23}.TM.VBS” 스크립트 파일을 실행하는 XML 파일을 “BitTorrent Certificate” 명으로 작업 스케줄 등록한다.
方法 1 提取 4.mkv，然后返回“NTUSER.BAT{428f9636-1254-e23e3-ada2-03427pie23}。TM的。注册执行 VBS 脚本文件的 XML 文件，名称为“BitTorrent Certificate”。

실행된 VBS 파일은 시스템 정보를 “WindowsLogFile.txt”에 기록하고, 배치 파일(NTUSER.BAT{428f9636-1254-ee23-ada2-080027dede23}.TM.bat)을 통해 파워쉘 스크립트를 실행한다.
执行的 VBS 文件将系统信息写入“WindowsLogFile.txt”，批处理文件 （NTUSER.BAT{428f9636-1254-ee23-ada2-080027dede23}。TM.bat） 运行 PowerShell 脚本。

실행된 파워쉘 스크립트(NTUSER.DAT{428f1209-1254-11ef-ada2-080027dede23}.TxR.1.ps1)는 난독화 된 PE파일인 blf파일(NTUSER.DAT{428f1209-1254-13ef-ada4-080027dede23}.TxR.blf, NTUSER.DAT{4280000a-1254-11ef-ada2-080007dede23}.TM.blf)을 로드하여 AsyncRAT를 실행한다.
已执行的 PowerShell 脚本 （NTUSER.DAT{428f1209-1254-11ef-ada2-080027dede23}.TxR.1.ps1）是一个混淆的PE文件，blf文件（NTUSER.DAT{428f1209-1254-13ef-ada4-080027dede23}.TxR.blf、NTUSER。DAT{4280000a-1254-11ef-ada2-080007dede23}。TM.blf） 并运行 AsyncRAT。

2.2. Method2 2.2. 方法2

Method2 함수는 5.mkv 압축을 해제한 뒤, 압축 파일 내부에 존재하는 VBS 스크립트를 실행하는 작업 스케줄을 ‘BitTorrent’으로 등록한다. VBS 스크립트는 배치 파일을 통해 AutoHotKey 스크립트를 실행시키며, 최종적으로 AsyncRAT을 아래 URL에서 다운로드 받아 실행한다.
Method2 函数解压缩 5.mkv，并将任务计划注册为“BitTorrent”，用于执行存档中存在的 VBS 脚本。VBS 脚本通过批处理文件执行 AutoHotKey 脚本，最后从下面的 URL 下载并执行 AsyncRAT。

2.3. Method3 2.3. 方法3

Method3 함수는 8.mkv 압축을 해제한 뒤, 압축 파일 내부에 존재하는 파워쉘 스크립트를 실행하는 작업 스케줄을 ‘USER ID Converter’으로 등록한다. 파워쉘 스크립트는 RM.TXT 파일과 동일한 방식으로 난독화되어 있으며, 최종적으로 같은 경로에 존재하는 AsyncRAT을 직접 실행한다.
Method3 函数解压缩 8.mkv，并将在存档中执行 PowerShell 脚本的任务计划注册为“USER ID 转换器”。PowerShell 脚本的混淆方式与RM.TXT文件相同，最后直接运行 AsyncRAT，它存在于同一路径中。

3. AsyncRAT 3. 异步鼠

최종적으로 실행되는 악성코드는 AsyncRAT으로 AntiVM, AntiAV, 지속성 유지와 같은 기능이 존재하며, 사용자의 정보 유출을 수행한다. 또한, 공격자로부터 명령을 받아 다양한 악성행위를 수행할 수 있다.
最终执行的恶意软件是AsyncRAT，它具有AntiVM、AntiAV和Persistence Keep等功能，并执行用户信息泄露。此外，它可以接受攻击者的命令并执行各种恶意行为。

AsyncRAT 악성코드는 과거부터 다양한 확장자와 방식으로 꾸준히 유포되어 왔으며, 정상 전자책을 위장하여 유포되는 해당 유형의 경우 피싱 메일 뿐만 아니라 자료 공유 사이트에서도 공유될 수 있는 유형이기에 사용자들의 각별한 주의가 요구된다.
AsyncRAT恶意软件过去一直以各种扩展和方法稳定地分发，用户应该格外小心，因为这种伪装成合法电子书的恶意软件不仅可以在网络钓鱼电子邮件上共享，还可以在数据共享网站上共享。

[파일 진단] [文件诊断]
– Trojan/Script.Agent.SC200228 (2024.06.25.00)
– 特洛伊木马/Script.Agent.SC200228 （2024.06.25.00）
– Trojan/BAT.Agent.SC200230 (2024.06.25.00)
– 特洛伊木马/BAT。代理.SC200230 （2024.06.25.00）
– Trojan/VBS.Agent.SC200225 (2024.06.25.00)
– 特洛伊木马/VBS。代理.SC200225 （2024.06.25.00）
– Trojan/BAT.Agent.SC200226 (2024.06.25.00)
– 特洛伊木马/BAT。代理.SC200226 （2024.06.25.00）
– Malware/Win.Generic.C5643757 (2024.06.23.03)
– 恶意软件/Win.Generic.C5643757 （2024.06.23.03）

[IoC] [国际奥委会]
MD5 MD5型
– dea45ddf6c0ae0f9f3fde1bfd53bc34f (VideoVLC_subtitles.exe)
– DEA45DDF6C0AE0F9F3FDE1BFD53BC34F （VideoVLC_subtitles.exe）
– b8d16e9a76e9f77975a14bf4e03ac1ff (RM.TXT)
– b8d16e9a76e9f77975a14bf4e03ac1ff （RM.TXT）
– 50005f22608e93dff1d9ed18f6be95d3 (Business Secrets from the Bible – Rabbi Daniel Lapin.LNK)
– 50005f22608e93dff1d9ed18f6be95d3（圣经中的商业秘密——拉比丹尼尔Lapin.LNK）
– 1ada2c6796a3486b79c5eb47fce9b19c (worldofprocure.rar)
– 1ada2c6796a3486b79c5eb47fce9b19c （worldofprocure.rar）
– 21714b248ab9ca42097a7834251a7452 (NTUSER.vbs{428f9636-1254-e23e3-ada2-03427pie22}.TM.vbs)
– 21714b248ab9ca42097a7834251a7452 （NTUSER.vbs{428f9636-1254-e23e3-ada2-03427pie22}. TM.vbs）

C&C 서버 C&C 服务器
– stevenhead.ddns[.]net – 史蒂文黑德.ddns[.]网

다운로드 주소 下载地址
– hxxps://worldofprocure[.]com/worldofprocure.rar

原文始发于kwonxx：전자책으로 위장하여 유포되는 AsyncRAT