* 출처는 안랩입니다.
VPN 홈페이지에서 유포 중인 NKNShell 악성코드
AhnLab SEcurity intelligence Center(ASEC)은 국내 VPN 업체의 홈페이지에서 악성코드가 업로드되어 있는 것을 확인하였다. 해당 공격은 악성코드 유포 방식이나 사용된 악성코드 등의 특징으로 보아 2023년부터 국내 VPN 업체를 공격해 악성코드를 유포했던 공격자와 동일한 소행으로 보인다. 과거 사례에서 공격자는 최종적으로 SparkRAT, MeshAgent, Sliver와 같은 백도어 악성코드를 설치해 감염 시스템을 제어하였는데 최근 확인된 공격 사례에서도 유사한 PDB 경로를 갖는 MeshAgent가 사용되고 있다.
이번에 확인된 공격 사례는 과거와 다른 VPN 업체의 홈페이지가 그 대상이며 과거 사례와 동일하게 MeshAgent를 사용하기도 하지만 NKNShell이라는 이름의 백도어가 새롭게 확인되었다. NKNShell은 C&C 서버와의 통신 시 NKN과 MQTT라는 프로토콜을 활용하는 것이 특징이다.
- 국내 VPN 설치파일에 포함되어 유포 중인 SparkRAT
- 국내 VPN 설치에서 MeshAgent 감염으로 이어지는 공격 사례 분석
- 국내 프로그램 개발 업체를 통해 유포 중인 Sliver C2
1. 악성코드 유포
국내 VPN 업체의 홈페이지에서는 2025년 11월 현재까지도 악성코드가 다운로드된다.
홈페이지에서 다운로드한 압축 파일의 압축을 해제하고 실행하면 정상 VPN 설치와 동시에 PowerChell을 이용해 파워쉘 스크립트를 다운로드해 실행한다. 파워쉘 스크립트는 다양한 악성코드들을 설치하는데 최종적으로 NKNShell라는 이름의 백도어와 MeshAgent 그리고 gs-netcat이 있다.
여기에서는 각각의 흐름에 따라 악성코드들을 분석한다.
Figure 1. 국내 VPN 홈페이지에서 다운로드
2. 악성코드 분석
2.1. 위장 설치 프로그램
Figure 2. 흐름도
* 전체내용은 아래에서 확인하세요.
https://asec.ahnlab.com/ko/91056/
