라인·VPN 도구로 위장한 밸리랫 악성코드 유포 캠페인 확산
EV 코드서명 위조와 희귀 인젝션 기법 활용한 고도화된 공격 양상

[보안뉴스 김형근 기자] 중국어 사용자를 주요 표적으로 하는 밸리랫(ValleyRAT) 악성코드가 메신저 라인(LINE) 및 VPN 도구로 위장해 유포되는 정황이 포착됐다.


보안 기업 사이버리즌에 따르면, 이번 캠페인의 배후는 실버 폭스(Silver Fox) 또는 APT-Q-1000으로 알려진 조직으로, 자격 증명 탈취와 지속적 시스템 장악을 목적으로 한다. 공격자들은 가짜 NSIS 설치 파일을 사용하며, 신뢰를 얻기 위해 위조된 EV 코드 서명 인증서를 활용하는 수법을 사용했다.

사용자가 설치 파일을 실행하면 중국어 GUI가 나타나 관리자 권한(UAC) 승인을 유도해 시스템을 감염시킨다. 이후 파워셸(PowerShell)을 활용해 윈도우 디펜더(Windows Defender)의 탐지 제외 목록에 악성 경로를 추가해 보안 탐지를 우회한다.

특히 이번 버전은 ‘풀파티 변종 7’(PoolParty Variant 7)이라는 희귀한 코드 인젝션 기법을 적용해 보안 솔루션의 감시를 효과적으로 회피하는 것이 특징이다. 악성 DLL인 intel.dll은 시스템에 상주하며, 텔레그램이나 왓츠앱 실행 여부를 감시하는 역할을 수행한다.


또 chrmstp.exe는 크롬 프로세스로 위장해 ‘360 토탈 시큐리티’(360 Total Security) 등 일부 보안 제품의 네트워크 연결을 방해하고 강제 종료를 시도한다. 감염된 시스템은 공격자의 C2 서버와 연결돼 사용자 계정 정보와 민감한 데이터들을 지속적으로 탈취하는 통로로 악용된다.

이번 공격에는 샌드박스 탐지 및 압축 해제 방지 기술이 함께 적용돼 분석을 어렵게 하는 등 치밀한 설계가 확인됐다. 사이버리즌은 이번 공격이 기존보다 진화된 코드 인젝션 방식과 RPC 기반의 지속성 유지 기술을 결합했다고 밝혔다.

소프트웨어는 반드시 공식 사이트를 통해 다운로드하고, 유효하지 않거나 의심스러운 코드 서명 인증서가 확인될 경우 즉시 설치를 중단하는 등 주의가 필요하다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>