[하루한줄] AutoHotkey 기반 악성코드 공격 주의

URL

Experts Warn About Ongoing AutoHotkey-Based Malware Attacks

Target

  • Windows

Explain

여러 사이버 보안 연구원들이 Microsoft Windows를 타깃으로 한 Revenge RAT, LimeRAT, AsyncRAT, Houdini, Vjw0rm 등의 RAT에 AutoHotkey(AHK) 스크립트 언어를 사용하는 것이 발견하였습니다.

AutoHotkey(AHK)는 Windows 애플리케이션에서 매크로, 소프트웨어 자동화 등에 사용되는 오픈 소스 커스텀 스크립트 언어입니다.

AHK 악성 파일은 FileInstall 명령어를 통해 AHK 인터프리터, AHK 스크립트, 파일들을 포함하여 독립적인 실행 파일로 만들어집니다. 악성코드 제작자들은 정상적인 프로그램으로 위장하기 위해 악성 스크립트와 정상적인 파일들을 묶어서 악성 실행 파일을 생성하였습니다. RAT 악성코드 감염은 AHK 실행 파일에서 시작되며 공격 체인과 상관없이 VBScript를 드롭하고 실행하여 RAT 파일을 로드합니다.

3월 31일에 발견된 악성코드는 AHK 실행 파일을 통해 RAT 파일을 드롭하고 배치 스크립트를 통해 Microsoft Defender를 비활성화하였습니다. 또 다른 악성코드는 피해자의 hosts 파일)을 변조하여 유명한 악성코드들이 접근하는 것을 막았습니다.

다른 악성코드들 또한 AHK 실행 파일에서 VBScript나 Powershell을 통해 RAT 파일을 드롭하고, Microsoft Defender를 비활성화하는 등의 공통점이 발견되었습니다.