caption - 공격 개요도

2.1. 99 Nights Script.zip

압축 파일에는 "99 Nights Script Installer.msi" 파일과 GTA 온라인의 치트 모드 Ultimate Menu의 구동을 위한 파일들이 포함되어 있다.

caption - 압축 파일 미리보기

"99 Nights Script"는 유명 게임 Roblox의 오픈소스 모드 이름으로, 공격자는 EtherRAT 악성코드를 해당 모드 설치 파일로 위장해 사용자가 악성코드를 실행하도록 유도하였다.

2.2. 99 Nights Script Installer.msi

msi 파일을 실행하면 3 개의 파일이 "%LOCALAPPDATA%\msitemp" 경로에 생성된다. 생성되는 파일 정보는 아래 표 참고 바란다.

| 파일명 | 설명 |
| --- | --- |
| Dt2fWrOyPtRxL28.js | EtherRAT을 복호화하는 난독화된 자바스크립트 파일 |
| IEgrjQr6OI6C3pf | 암호화된 EtherRAT 악성코드 |
| syBKJQiN.cmd | nodejs를 다운로드하여 자바스크립트 파일을 실행하는 배치 스크립트

caption - 생성 파일 목록

파일 생성 이후, msi의 CustomAction 기능에 의해 syBKJQiN.cmd 파일이 실행된다.

caption - msi 파일 CustomAction 테이블

2.3. syBKJQiN.cmd

배치 파일이 실행되면 먼저 윈도우용 nodejs를 "%LOCALAPPDATA%\6gahPD" 경로에 다운로드한다. 이후 앞서 생성된 "Dt2fWrOyPtRxL28.js", "IEgrjQr6OI6C3pf" 두 파일을 "%LOCALAPPDATA%\6gahPD" 경로에 복사한다. 복사가 완료되면 다운로드한 nodejs를 이용해 "Dt2fWrOyPtRxL28.js"를 실행한다.

caption - syBKJQiN.cmd 코드

2.4. Dt2fWrOyPtRxL28.js

"Dt2fWrOyPtRxL28.js" 파일은 obfuscator.io를 통해 난독화되어 있다. 또한 분석 방해를 목적으로 2가지 보호 기법이 적용되어 있다. 적용된 보호 기법은 아래와 같다.

• 콘솔 출력 비활성화: 모든 콘솔 출력을 차단해 로그 확인을 어렵게 한다.

• 포맷팅 감지: 코드가 포맷팅(정렬)되어 있을 경우 더미 코드가 실행되어 에러가 발생한다.

더미 코드가 실행되지 않아야 복호화 루틴이 동작하고, "IEgrjQr6OI6C3pf" 파일을 AES-256-CBC로 복호화해 현재 실행 경로에 "f6gK5600n6.js" 파일로 저장한다.

caption - AES-256-CBC 복호화 루틴

이후 "f6gK5600n6.js" 파일을 실행한다. 정상적으로 실행되면 "f6gK5600n6.js" 파일을 실행하는 자바스크립트 코드를 현재 실행 경로에 "areAx6ey.js" 파일로 저장하고 자동 실행 레지스트리 경로에 해당 파일을 실행하는 키를 추가해 지속성을 확보한다.

2.5. f6gK5600n6.js

복호화된 자바스크립트 파일은 EtherRAT 악성코드로, EtherRAT Decryptor과 동일한 방식의 난독화와 보호 기법이 적용되어 있다. EtherRAT 악성코드는 %APPDATA% 경로에 "svchost.log" 파일을 생성하고, 해당 파일에 로그를 작성한다.

caption - 로그 작성 루틴

예시 로그는 아래와 같다.

[2025-12-31T06:57:30.086Z] Fetching URL from blockchain...
[2025-12-31T06:57:30.086Z]

C&C 서버 주소 설정

EtherRAT 악성코드는 C&C 서버 주소를 하드코딩하지 않고 이더리움 스마트 컨트랙트를 통해 동적으로 받아온다. 이 과정에서 eth_call 메서드를 사용해 하드코딩된 컨트랙트 주소에 쿼리를 전송한다. 이때 전송되는 데이터는 함수 시그니처인 0x7d434425와 컨트랙트 생성자의 지갑 주소로 구성된다.

caption - 컨트랙트 쿼리 전송 루틴

또한 EtherRAT 악성코드는 단일 RPC 엔드포인트에 요청을 보내는 것이 아니라, 총 9개의 이더리움 RPC 엔드포인트에 동시에 요청을 보낸다. 이후 수신한 응답 중 가장 많이 수신된 URL을 C&C 서버로 사용한다.

• https://eth.llamarpc.com

• https://mainnet.gateway.tenderly.co

• https://rpc.flashbots.net/fast

• https://rpc.mevblocker.io

• https://eth-mainnet.public.blastapi.io

• https://ethereum-rpc.publicnode.com

• https://rpc.payload.de

• https://eth.drpc.org

• https://eth.merkle.io

설정 파일 경로 생성

EtherRAT 악성코드는 설정 파일을 저장할 경로를 생성할 때, 감염 시스템의 고유 정보를 활용한다. 먼저 컴퓨터 이름과 유저 이름을 이어 붙인 문자열에 대한 md5 해시를 생성하고, 해시의 첫 번째 바이트 값을 5로 나눈 나머지를 계산해 폴더 이름으로 사용할 문자열을 선택한다. 나머지 값에 따라 매칭되는 문자열은 아래와 같다.

• 0: Microsoft

• 1: Windows

• 2: Programs

• 3: Package

• 4: Google

이후 두 번째 바이트 값을 5로 나눈 나머지를 계산해 하위 폴더 이름으로 사용할 문자열을 선택한다. 나머지 값에 따라 매칭되는 문자열은 아래와 같다.

• 0: Services

• 1: Components

• 2: Assemblies

• 3: Extensions

• 4: Modules

"%LOCALAPPDATA%\[폴더 이름]" 경로가 이미 존재할 경우 "%LOCALAPPDATA%\[폴더 이름]\[하위 폴더 이름]\[해시 첫4바이트]"를 설정 파일 경로로 사용한다. "%LOCALAPPDATA%\[폴더 이름]" 경로가 존재하지 않으면 "%LOCALAPPDATA%\[해시 첫 8바이트]"를 설정 파일 경로로 사용한다.

마지막으로 폴더 경로의 해시 6바이트를 설정 파일 이름으로 사용한다.

caption - 설정 파일 경로 생성 루틴

생성된 설정 파일 내용은 base64 로 인코딩된 json 형태로 저장된다. 인덱스별 설정 파일 내용은 아래와 같다.

• 0: 고유 ID

• 1: reobf 엔드포인트 접속 여부

• 3: reobf 엔드포인트 접속 시간

• 5: log 파일 작성 여부

ID 생성

EtherRAT 악성코드는 감염된 시스템을 식별하기 위해 고유 ID를 사용한다. 먼저 특정 파일을 탐색해 기존에 발급된 ID가 있는지 확인한다. 첫 번째로 탐색하는 파일은 설정 파일로, 설정 파일에 ID가 저장되어 있다면 설정 파일에서 ID를 읽어와 사용한다. 이때 ID는 설정 파일의 0번 인덱스에 저장되어 있다.

만약 설정 파일에 ID가 저장되어 있지 않으면 두 번째로 ".node_bot_id" 파일을 탐색한다. ".node_bot_id" 파일이 존재하면 해당 파일의 내용을 ID로 사용한다.

caption - .node_bot_id 파일 탐색 루틴

".node_bot_id" 파일이 존재하지 않으면 세 번째로 파일 이름이 "."으로 시작하고 길이가 11글자인 파일을 탐색한다. 조건을 만족하는 파일을 찾을 경우 해당 파일의 내용을 ID로 사용한다. 그러나 모든 탐색에 실패할 경우 crypto 모듈의 randomUUID 함수로 무작위 ID를 생성하고 설정 파일에 작성한다.

caption - 파일 탐색 및 ID 생성 루틴

C&C 서버 초기 통신

처음 C&C 서버 통신 시 설정 파일의 1번 인덱스에 값이 존재하고, 3번 인덱스에 값이 존재하지 않는지 확인한다. 해당 조건을 만족할 경우 설정 파일이 저장된 폴더에서 1번 인덱스 값과 이름이 같은 파일을 "[C&C 서버 주소]/api/reobf/[ID]" 엔드포인트에 전송한다.

caption - 파일 전송 루틴

이후 설정 파일의 3번 인덱스 값을 현재 시간으로 변경하고, C&C 서버에 전송한 파일 데이터를 C&C 서버 응답으로 덮어쓰고 실행한다.

caption - 파일 데이터 변경 및 실행 루틴

C&C 서버 통신

초기 통신 이후 C&C 서버 통신 전에 위장을 위해 확장자 리스트(png, jpg, gif, css, ico, webp)와 변수명 리스트(id, token, key, b, q, s, v)에서 각각 하나씩 무작위로 선택하고 통신 시 "[C&C 서버 주소]/api/[랜덤16진수]/[ID]/[랜덤16진수].[확장자]?[변수명]=5a15c932-4675-4a53-920d-3f3a7aa2e835"로 POST 요청을 보낸다.

caption - C&C 서버 통신 루틴

C&C 서버에서 응답을 수신하지 못하면 약 3초 후에 다시 요청을 전송한다. 응답을 수신하면 응답 내용을 자바스크립트 코드로 실행한다.

caption - 응답 실행 루틴

분석 당시 C&C 서버가 활성화되어 있었으나 아무런 응답이 오지 않아 추가 분석이 불가하였다.