* 출처는 안랩입니다.

김수키(Kimsuky) 위협 그룹은 xRAT(Quasar RAT)과 같은 오픈 소스 기반 및 자체 제작한 악성코드 외에도 다양한 툴을 사용해 공격을 수행한다. 특히 시스템을 원격으로 제어하는 데 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)를 가장 많이 사용한다. 공격자는 RDP가 설치돼 있지 않은 환경에 RDP 래퍼(RDP Wrapper)를 설치하기도 하며, 이후 RDP 접속을 위해 사용자 계정을 추가하거나, 추가한 계정을 은폐하고 RDP 다중 세션을 설정하는 악성코드를 사용하는 경우도 있다. 

최근 안랩은 김수키가 스피어 피싱으로 추정되는 공격을 통해 베이비샤크(BabyShark)를 설치하고, 이후 각종 RDP 관련 악성코드를 설치한 정황을 확인했다. 이번 글에서는 해당 사례를 집중적으로 살펴본다.

이번 공격에 사용된 툴은 기능이 과거 사례와 유사하지만, PDB(Program Database) 정보를 기반으로 제작한 최신 버전인 것으로 추정된다.  

[그림 1] 인젝터(Injector) 악성코드의 PDB 정보

또한, 새로운 악성코드도 확인됐다. 공격자는 이 악성코드를 제작할 때 ‘RevClient’라는 이름을 사용했다. 해당 악성코드는 C&C 서버로부터 공격자의 명령을 받아 동작하며, 명령에 따라 사용자 계정을 추가하거나 포트 포워딩 기능을 활성화할 수 있다.

초기 침투 단계

최초 유포 방식은 아직 확인되지 않았지만, 스피어 피싱인 것으로 추정된다. 감염 대상 시스템에서는 hwp.bat 파일이 사용된 이력이 확인됐다. BAT 악성코드는 WMIC 명령어를 이용해 안티바이러스를 확인하고, 스크립트 악성코드를 추가로 설치한다. 

[그림 2] 공격에 사용된 hwp.bat 파일

공격자는 최초로 시스템을 감염시킨 후에도 악성코드와 C&C 서버 주소를 변경해 가면서 지속적으로 시스템의 정보를 탈취했다. 설치된 악성코드로는 대표적으로 키로깅을 담당하는 ‘k.ps1’과 이를 실행하는 ‘OneNote.vbs' 파일이 있다. k.ps1 파일은 로깅한 데이터를 ‘%APPDATA%\k.log’ 파일에 저장한다.

[그림 3] 탈취한 정보를 업로드하는 데 사용된 주소들

[그림 4] 김수키가 설치하는 키로거 악성코드

* 전체내용은 아래에서 확인하세요.

https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=34083&utm_source=CM&utm_medium=eDM&utm_campaign=SL%5FtypeC&utm_content=989