□ 개요

미 연방 수사국(FBI)과 각 다른 나라의 경찰청, 유로폴이 참여한 작전에서 NetWire RAT 악성코드 배포자를 체포하고 서비스 웹 도메인을 압수했다.

[그림 1] 현재 판매 도메인 상태

□ NetWire RAT 배포자 검거

NetWire 악성코드 서비스를 ‘www.worldwiredlabs.com’에서 판매하였고, 매월 10달러만 지불하면 NetWire 프로그램과 Update를 보장받는다.

[그림 2] 압수되기 전 판매 현황

위법 행위에 대한 도메인 압수 영장은 2023년 3월 3일에 승인되었고, 2023년 3월 7일에 작전이 집행되어 NetWire 판매 도메인 서비스(www.worldwiredlabs.com)와 호스팅 서버를 압수했다. NetWire 웹사이트의 관리자로 의심되는 크로아티아 국적자도 2023년 3월 7일에 체포되어 지방 당국에 의해 기소될 예정이다.

국제 공조 수사에 참여한 경찰기관은 아래와 같다.

[표 1] 수사 공조 참여 기관

□ NetWire RAT

NetWire는 백도어 악성코드로 2012년 등장한 이후 현재까지 지속적으로 유포되고 있다.

유포 단계는 설치 파일에 악성 스크립트를 삽입하고 정상 설치 파일로 위장해 피싱 메일로 유포되는 형태로 알려져있다. 

설치 파일 실행 시, 삽입된 VB 스크립트 파일이 드랍된 후 실행되고, Powershell 스크립트를 작동시켜 내부에 포함된 “NetWire” 악성코드를 정상 프로세스에 인젝션하여 백도어에서 실행한다. 후에 공격자의 명령을 전달받아 파일 조작 및 정보 탈취 등의 악성 행위들을 수행한다.

[그림 3] NetWire 악성코드 흐름 구성도(출처 : 잉카 인터넷)

□ 참고 자료

https://www.bleepingcomputer.com/news/security/police-seize-netwire-rat-malware-infrastructure-arrest-admin/

https://isarc.tachyonlab.com/4299

보안관제센터 MIR Team