안랩은 자사 ASEC 블​로그를 통해 ‘아베마리아’(AveMaria) 악성코드가 스팸메일의 첨부파일 형태로 국내에 유포되고 있다고 밝혔다. 이에 대해, 의심스러운 첨부파일 실행 지양, V3 최신 버전 업데이트 등 사용자의 각별한 주의를 당부했다.

아베마리아는 원격 제어 기능을 바탕으로 동작하는 RAT(Remote Administration Tool) 악성코드로, C&C(Command and Control) 서버에서 공격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다. 스팸메일을 통해 유포되는 점과 진단을 우회해기 위해 외형을 닷넷(.NET)으로 패킹한다는 점에서 에이전트테슬라(AgentTesla), 로키봇(Lokibot), 폼북(Formbook) 악성코드와 유사하다. 

다음은 유포에 사용된 견적 요청을 가장한 스팸메일이다.
​ 

[그림 1] 아베마리아 악성코드 유포에 사용되는 스팸메일 

첨부파일에는 ▲7z, ▲zip 총 두 개의 압축파일이 존재한다. 두 압축파일에는 동일한 실행파일(exe)이 있으며, 모두 아베마리아가 내재되어 있다. 사용자가 첨부파일 압축을 해제한 후 xlsx 엑셀 파일로 착각하고 실행할 경우 악성코드가 동작한다.
 
아베마리아는 공격자가 생성 시 지정한 옵션에 따라 다음과 같은 기능들이 활성화된다.
A. 지정되는 이름으로 복사 및 재실행
B. 재부팅 후에도 악성코드 작동
C. 악성코드 실행 시부터 오프라인 키로깅 수행
D. 악성코드가 종료된 후에도 재실행 반복
E. 관리자로 권한 상승
F. Windows Defender 탐지 우회

앞서 언급했듯, 아베마리아는 RAT 악성코드로 공격자가 원격으로 내리는 명령에 따라 다양한 공격을 수행한다. 다음은 아베마리아의 여러 공격 기능 중 대표적인 10개를 요약한 것이다.  

[그림 2] 아베마리아 악성코드 공격 기능 

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=29452&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=831