* 출처는 안랩입니다.
베놈 RAT(Venom RAT) 악성코드가 유명 메신저를 통해 유포되는 것을 확인했다.
이전 유포 사례와 비교하면, 공격자는 HTA에서 RAT 악성코드를 바로 다운로드하지 않고, 파워셸(PowerShell) 스크립트를 통해 배치 파일(.BAT)을 다운로드 및 실행하는 방식을 사용했다. 무엇보다도, 유포 과정에서 사용된 메신저가
다수의 사용자가 이용하고 있는 유명 메신저라는 점에서 주의가 요구된다.
베놈 RAT 악성코드의 유포 방식을 살펴보자.
[그림 1] 자사 ASD(AhnLab Smart Defense) 인프라 탐지로그 - 1
[그림 2] 자사 ASD(AhnLab Smart Defense) 인프라 탐지로그 - 2
악성코드의 전반적인 동작 과정은 [그림 3]과 같다.
[그림 3] 악성코드 유포 도식도
[그림 4]는 HTA로 실행되는 파워셸 스크립트의 내용 중 일부이다. 실행되는 방식이 확장자(.dll .ps1 .msi)에 따라 다르게 분기되는데, 이는 공격자가 다양한 방식을 사용해 악성코드를 유포하고 있음을 보여준다.
[그림 4] HTA에 의해 실행되는 파워셸 스크립트 내용
* 전체내용은 아래에서 확인하세요.
https://www.ahnlab.com/ko/contents/content-center/35625
![[네이버] HP 인강용 대학생 노트북 가성비 15인치 사무용 재택근무 주식 엑셀 [50만원대]](http://img.danawa.com/images/attachFiles/7/14/6013495_1.jpg?fitting=Large|320:240&crop=320:240;*,*)
![[쿠팡] LG 인강용 대학생 노트북 가성비 사무용 15인치 재택근무 주식 엑셀 [115만원대] 입소문 쇼핑](https://img.danawa.com/images/attachFiles/7/14/6013468_1.png?fitting=Large|140:105&crop=140:105;*,*)
![[네이버] LG 가성비 사무용 노트북 15인치 대학생 인강용 직장인 화이트 [94만원대]](https://img.danawa.com/images/attachFiles/7/14/6013483_1.png?fitting=Large|140:105&crop=140:105;*,*)
