운송장으로 위장한 렘코스 RAT 공격, 그 수법은?

2025.04.03. 08:35:02

조회 수: 159

공감 수: 8

댓글 수: 14

* 출처는 안랩입니다.

안랩 분석팀은 최근 대형 운송사의 운송장으로 위장한 렘코스(Remcos) RAT 악성코드를 발견했다. 공격자는 사회공학적 기법을 활용해 사용자가 의심 없이 악성 파일을 실행하도록 유도했다. 이번 사례에서 렘코스 RAT은 HTML, JavaScript, Autoit script 등을 거쳐 최종적으로 악성코드를 실행하는 방식으로 유포됐다. 해당 악성코드의 유포 흐름과 주요 특징을 살펴보자.

[그림 1]은 악성 메일의 원본으로, 내부에 HTML 스크립트가 첨부돼 있다. 사용자가 해당 HTML 파일을 실행한 후 Download 버튼을 클릭하면 [그림 2]와 같이 “747031500 D747031500_A.js” 파일이 다운로드된다. 하지만 이 파일의 다운로드 URL은 “blob” 형태로, 일반적인 외부 서버에서 직접 파일을 내려받는 방식이 아니다.

[그림 1] 유포 메일 원본

[그림 2] 첨부된 HTML 스크립트 본문

[그림 3]은 HTML 스크립트의 코드로 인코딩된 악성 자바스크립트를 오브젝트로 변환해 브라우저 내에서만 접근할 수 있는 URL을 생성하고, 이를 통해 “747031500 D747031500_A.js” 파일을 생성하는 방식을 보여준다.

[그림 3] 첨부된 HTML 스크립트 코드

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/ko/contents/content-center/35812

태그: 등록된 태그가 없습니다.

어머니 노트북 좀 추천해주세요	L1 해달6037
저는 이만 떠납니다.	L11 전두혁
5월에 피는 꽃 (2)	L18 화월운
국민체력100 센터에서 체력측정 (2)	L12 이 방 인
래플 취소되는 중. (4)	L11 까부수자
설악산 풍경 근황 (2)	L20 야거커티스
5/20 전국 날씨 (1)	L20 야거커티스
생각을 바꾸는 말의 힘 (4)	M1 파노백작
습도 높고 흐린 날씨에 화요일이네요. (8)	M2 관성
바람이 있네요. (7)	L20 까망여우
비 소식이 있습니다. (7)	L19 벗꽃엔딩
하.. (6)	L2 호랑이6093
아 나의실수.. (5)	L1 돈없는돼지
[레벨] M2로 레벨 업했네요. (20)	M2 하늘을담은와인
5월 19일 박스오피스 (5)	M2 하늘을담은와인
최고 30도 안팎 초여름 날씨 (9)	M7 천사다나와
Z플립3 특징 (6)	L3 유승우유
퇴근 후에 정리중이네요. (5)	M3 히이로진
5/19(월) 6,963보를 걸었습니다. (9)	L13 느낌하나
오늘 시흥과 동탄에서 중국한 사건들 (13)	L8 좌코
늦은 시간이지만 걸으러 왔습니다 (9)	L20 아피홀릭
삼탠바이미 m5 32인치 후기 (9)	L1 북극곰0482
메론 케이크 (10)	L20 야거커티스
삶이 나아지는 5가지 방법 (8)	L20 야거커티스
이정도면 우기 아닌가 (7)	L20 skybulam
유심교체 받으라고 문자가 (13)	L10 웅끼끼
올해 처음으로 상의 탈의하고 잣네요 (10)	L7 myfanta
5월달도 빨리 지나가네요 (11)	L12 otosan
오랜만에 잡채밥을 먹었네요 (14)	L11 까부수자
미세먼지 괜찮네요 (9)	L14 HomeRun
월요일 오후네요 (6)	L20 아모스1
내돈내산 사용기... 당첨자 발포 (17)	L12 이 방 인
디올코리아, 아디다스코리아도 개인정보 털렸네요. (20)	L12 나그네우주
커피 한 잔 하고 바람 좀 쐬엇네요 (6)	L11 까부수자
재미로 보는 랭킹! (12)	M1 Or크ㅁr
새벽에 나와 이어지는 미팅으로 커피만 들이 붇고 있네요 (12)	L13 느낌하나
[주간랭킹] 지난 주 주간활동순위는 전주 대비 8계단 올라간 8위였네요. (17)	L13 느낌하나
바람에 날린 깃털 같은 것 (9)	L20 야거커티스
낙상 위험장소.. (8)	L18 화월운
5/19 전국 날씨 (7)	L20 야거커티스
흐리고 쌀쌀한 날씨에 월요일이네요. (11)	M2 관성
문제를 해결하는 방법 (16)	M1 파노백작
아이슬란드, 바람에 흩날리는 검은 모래 (17)	M4 plc-wave
승객 기강 잡는 버스기사 (8)	M4 plc-wave
라떼아트가 쉽겠냐? (16)	L11 까부수자
반팔은 아직은 아침에는 차갑네요. (27)	L20 까망여우
오후부터 비소식이 있네요. (18)	L19 벗꽃엔딩
세계의 으스스한 폐허 (19)	L20 야거커티스
아... 꽃가루... (10)	L4 vmoxmv
한국 영토 크기 비교 (21)	L20 야거커티스
큰 일교차 오후 중부지방 곳곳 비 (11)	M7 천사다나와
[주간 랭킹] 17위 (20)	M2 하늘을담은와인
5월 18일 박스오피스 (5)	M2 하늘을담은와인
놀이공원 갔다가 신나게 놀고 세차도 다녀왔네요. (9)	M3 히이로진
산타기머신 반스신고 해봤는데 (8)	L7 myfanta
기안84 예능 (6)	M8 무한제리사랑
80 90의 추억 (7)	L20 야거커티스
사진만 주면 그대로 만들어 주는 금손 (11)	L20 야거커티스
휴일이 끝나가네요 T..T (4)	L20 아피홀릭
L13 레벨로 레벨업 했습니다. (32)	L13 느낌하나
지옥행 티켓 한 장 추가 (1)	L8 좌코
5Q더하기 5Q는 (4)	L8 좌코
바람이 시원한 날 (12)	L20 skybulam
일요일이 지나가네요 하지만 야구이야기 (7)	L10 웅끼끼
일요일 밤이네요 (4)	L15 그린빌나유
저녁은 통닭으로 간편허게 (10)	L11 까부수자
제 플 (2)	L2 호랑이6093
신기한 기능이 많이 달린 샤워기 (12)	L20 야거커티스
실사 VS AI 사진 구분해 보기 (13)	L20 야거커티스
테슬라 한 달 주가 (12)	L11 까부수자
날씨 좋아졌네요 (18)	L12 otosan
저도 유심 교체하고 왔습니다. (42)	L13 느낌하나
일요일 오후네요 (9)	L20 아모스1
5/18(일) 13,021보를 걸었습니다. (14)	L13 느낌하나
집 근처에 학교가 두 군데나 있는데 (11)	L9 Ohhana
일요일 날씨 좋네요 (20)	L14 HomeRun
전투기 성능 순위 (7)	L5 악어새9152
덩기덕 쿵더러러러러가 뭔가요? (8)	L2 장원뽀뽀뽀
한 번쯤 해볼만 하다는 익스트림 스포츠 (25)	L20 야거커티스
5/18 전국 날씨 (12)	L20 야거커티스
이번주는 15계단 상승한 47위~ (29)	M7 검은바다
소방관이 영어로 'Fire Fighter'인 이유 (22)	M4 plc-wave
야외 나들이시 유의사항 (14)	L18 화월운
스벅 섬머 프리퀀시가 딤주부터 시작 (16)	L11 까부수자
바람 불고 쌀쌀한 날씨에 일요일이네요. (17)	M2 관성
skt 해킹 관련한~ (34)	L13 드래곤볼모음
용서는 모래에 새기고 은혜는 돌에 새겨라 (18)	M1 파노백작
이번주 랭킹은 11위로 마감했네요 (35)	M4 plc-wave
하늘에 파도?! ‘거친물결구름’의 정체는? (17)	M4 plc-wave
이른 시간이 조금은 쌀쌀하네요. (10)	L20 까망여우
좋은 날씨네요. (10)	L19 벗꽃엔딩
[지나가는 타임] 지난주 랭킹. (16)	L20 까망여우
맑고 포근한 일요일 (10)	M7 천사다나와
5월 17일 박스오피스 / 미션 임파서블: 파이널 레코닝 개봉일 1위 (8)	M2 하늘을담은와인
오늘 유심 교체를 하고 왔네요. (9)	M3 히이로진
이젠 더운물 못마시겠네요 (4)	L7 myfanta
요즘은 밤에도 운동하시는 분들이 많으시네요 (9)	L20 아피홀릭
5/17(토) 12,458보를 걸었습니다. (12)	L13 느낌하나
포인트 마켓 마우스키보드셋 나갔네요 (13)	L10 웅끼끼
예보가 빗나간 모양 (18)	L20 skybulam

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

운송장으로 위장한 렘코스 RAT 공격, 그 수법은?

plc-wave 님의 다른 글 보기

비교하고 잘 사는, 다나와 : 가격비교 사이트

RanKING 100 도움말 보기

GNB 메뉴

GNB 메뉴

운송장으로 위장한 렘코스 RAT 공격, 그 수법은?

공유하기

공감/비공감

plc-wave 님의 다른 글 보기