PNGPlug 로더를 통한 ValleyRAT 악성코드 유포

PNGPlug Loader Delivers ValleyRAT Malware Through Fake Software Installers

 

• 공격 개요
  • 표적: 홍콩, 대만, 중국 본토 등 중국어권 지역
  • 방법: PNGPlug라는 다단계 로더를 사용하여 ValleyRAT 악성코드를 배포
  • 시작점: 피싱 페이지를 통해 피해자가 악성 Microsoft Installer (MSI) 패키지를 다운로드하도록 유도
• 감염 과정
  • MSI 실행: 정상 애플리케이션을 설치하여 의심을 피하면서 동시에 암호화된 악성 페이로드를 추출
  • CustomAction 기능 활용: MSI 패키지는 Windows Installer의 CustomAction 기능을 사용하여 악성 코드를 실행
  • 악성 DLL 실행: 내장된 악성 DLL이 하드코딩된 비밀번호 'hello202411'을 사용하여 암호화된 아카이브를 해독하고 주요 악성코드 구성 요소를 추출
• 악성코드 구성 요소
  • libcef.dll: 악성 DLL
  • down.exe: 정상 애플리케이션으로 위장하여 악성 활동을 숨김
  • aut.png 및 view.png: PNG 이미지로 위장한 페이로드 파일
• PNGPlug 로더 기능
  • 메모리에 aut.png와 view.png를 주입하여 악성코드 실행 환경을 준비
  • Windows 레지스트리를 변경하여 지속성을 확보하고 ValleyRAT을 실행
• ValleyRAT 특징
  • 원격 접근 트로이 목마 (RAT): 공격자가 감염된 시스템에 무단 접근 및 제어 가능
  • 기능: 스크린샷 캡처, 파일 실행, 플러그인 로드, Windows 이벤트 로그 삭제 등
  • 관련 위협 그룹: Silver Fox 및 Void Arachne와 전술적 유사성
• 공격 기법의 정교함
  • 정상 소프트웨어와 악성코드를 결합하여 사용자의 의심을 최소화
  • PNGPlug 로더의 모듈화된 설계로 다양한 캠페인에 맞게 커스터마이징 가능
• 보안 권고
  • 소프트웨어 다운로드 시 주의: 공식 소스에서만 소프트웨어를 다운로드하고, 의심스러운 링크나 첨부 파일을 열지 않도록 주의
  • 보안 소프트웨어 사용: 최신 안티바이러스 및 안티멀웨어 프로그램을 사용하여 시스템을 보호
  • 시스템 및 소프트웨어 업데이트: 운영 체제와 모든 소프트웨어를 최신 버전으로 유지하여 알려진 취약점을 최소화
  • 의심스러운 활동 모니터링: 시스템에서 비정상적인 동작이나 예기치 않은 변경 사항을 주기적으로 확인