Java-based jRAT 트로이 목마 관련 이슈

the SonicWall Capture Labs Threat Research Team 은 멀웨어 스팸을 통해 전송된 자바 기반 트로이 목마를 발견했습니다. 이러한 요청하지 않은 이메일들은 공식 문서를 다운로드 할 수 있는 링크를 포함한 중요한 메시지들로 위장하고 있으며, 말스콤 캠페인과 매우 유사한 형태 입니다.

공격 동작 방식은 다음과 같습니다.

이 트로이 목마는 다음과 같이 다양한 파일이름으로 위장합니다.

• uspslabel.jar
• Order_2018.jar
• contract332178.jar
• scanned_copy.jar
• receipt_02092018.jar
• DHL delivery.jar
• invoice.jar

실행 시 TOR 네트워크를 통해 액세스 할 수 있는 익명의 숨겨진 서비스와 연결된 도메인에 대한 DNS쿼리를 만듭니다.

이 파일은 %TEMP% 내에  자체 복사본을 만듭니다.

또한 감염 표식으로 GUID를 포함하는 “ID.txt”라는 텍스트 파일도 생성합니다. 빈 디렉토리가 생성된 것을 확인할 수 있습니다.

또한 %TEMP% 디렉토리 내에서 클래스 파일을 삭제하고 java.exe가 다음 명령을 사용하여 파일을 실행하도록 합니다.

• “C:\Program Files\Java\jre7\bin\java.exe” -jar C:\DOCUME~1\USER\LOCALS~1\Temp\_0.83800868772929068034313497563112697.class”

그런 다음 xcopy.exe를 사용하여 Program Files 디렉토리의 전체 Java 폴더와 해당 내용을 AppData 디렉토리로 복사합니다.

기에서 다른 클래스 파일이 실행되었습니다. 이번에는 AppData 디렉토리의 java.exe 복사본을 사용합니다.

• “C:\Documents and Settings\Users\Application Data\Oracle\bin\java.exe” -jar C:\DOCUME~1\USERS\LOCALS~1\Temp\_0.1308514375193299350395911777849595.class”

그런 다음 cmd.exe가 생성되어 다음 명령을 실행합니다.

• WMIC /Node:localhost /Namespace:\\root\cimv2 Path Win32_PnpSignedDriver Get /Format:List

이 명령은 WMI를 사용하여 알려진 웨어하우스 탐지 기술인 VMWare, VirtualBox 또는 모든 샌드 박스 드라이버를 확인하는 서명 된 드라이버 목록을 표시합니다.

Java.exe의 다른 인스턴스가 실행 중이고 localhost로부터 Synflooding 이 발생했습니다.

이 Java.exe 인스턴스는 각각 %Temp% 디렉토리에서 클래스 파일의 복사본을 시작합니다. 이 트로이 목마를 실행한 지 몇분 만에 %temp% 디렉터리에 다음과 같은 클래스 파일 복사본이 생성되었습니다.

또한 다른 원격 서버와의 연결도 지속적으로 유지되었습니다. 아래 스크린 샷에 표시된 대로 다음 인증서를 사용하여 암호화된 데이터를 보냅니다.

이러한 종류의 멀웨어 스팸 때문에, 우리는 사용자들이 의심스러운 첨부파일이나 웹 사이트 링크가 있는 요청하지 않은 이메일은 특히 출처가 확실하지 않은 경우에는 열어보지말라 당부하고 있습니다.

Sonicwall Capture Labs은 다음과 같은 서명을 통해 이러한 위협에 대한 보호 기능을 제공하고 있습니다.

GAV: Java.Fake.UPS (Trojan)
GAV: Jrat.A (Trojan)