원격 제어 이용한 악성코드는 올해 사이버 공격에 꾸준히 사용되고 있어

안랩 ASEC 분석팀, 김수키 해킹그룹의 최근 공격 사례 분석

[보안뉴스 김영명 기자] 김수키(Kimsuky) 해킹그룹은 최초 침투 과정 이후 감염 시스템을 제어하기 위해 원격 제어 악성코드들을 설치한다. 김수키 해킹그룹이 사용하는 악성코드들로는 애플시드(AppleSeed), 페블대시(PebleDash) 등과 같이 직접 제작한 유형들 외에도 엑스랫(XRat), HVNC, 아마디(Amadey), 메타스플로잇 미터프리터(Metasploit Meterpreter) 등 오픈소스이거나 판매 중인 악성코드들이 있다. 제어를 탈취한 이후에는 최종적으로 RDP를 활용하거나 구글의 크롬 원격 데스크톱을 설치해 감염 시스템의 정보를 탈취한다.

​

[이미지=gettyimagesbank]

안랩 ASEC 분석팀이 최근 유포된 아마디와 RftRAT 악성코드를 분석했을 때 특히, 최근에는 오토잇(AutoIt)으로 제작된 형태가 확인됐다. 원격 제어 목적의 악성코드는 꾸준히 변경됐지만, 이를 이용해 설치하는 악성코드들은 올 한 해 큰 변화 없이 공격에 꾸준히 사용됐다.

초기 침투 방식은 크게 스피어피싱 방식과 LNK 악성코드 방식으로 나뉜다. 스피어 피싱 공격은 올 한 해 동안 △정상 한글 문서를 위장한 악성 링크 파일(LNK) △국세청을 사칭한 악성 LNK 유포 △기업 홍보물 제작을 위장한 악성 LNK 유포 등 다양한 방식으로 LNK 악성코드를 유포했다. 공격자는 이메일에 파일을 첨부하거나 다운로드 링크를 첨부해 사용자가 압축 파일을 다운로드하고 내부에 존재하는 LNK 바로가기 파일을 실행하도록 유도했다.

​

▲압축 파일에 포함된 LNK 악성코드[자료=안랩 ASEC 분석팀]

LNK 악성코드 파일의 내부에는 암호화된 형태로 저장된 압축 파일이 존재하며, 해당 압축 파일에는 다양한 스크립트 악성코드들이 존재한다. LNK를 실행하면 해당 압축 파일의 압축이 해제되고 최종적으로 스크립트 악성코드가 실행된다. 내부에 존재하는 BAT, VBS 스크립트는 인포스틸러가 있으며, 추가 페이로드를 외부에서 다운로드해 실행하는 다운로더도 있다. 최근에는 오토잇으로 제작한 Amadey와 RftRAT이 사용되는 것이 특징이다.

원격 제어 악성코드에는 엑스랫(QuasarRAT)과 아마디가 있다. 먼저, 엑스랫은 닷넷으로 개발된 RAT 악성코드로서 깃허브에 공개돼 있는 QuasarRAT을 기반으로 제작됐다. 김수키 그룹이 XRat을 사용한 것은 훨씬 과거부터 확인되고 있지만, 최근에는 단독 실행 파일이나 DLL이 아니라 암호화된 페이로드 형태로 공격에 사용하는 것이 특징이다.

김수키 해킹그룹은 이외에 아마디봇도 공격에 사용했다. 아마디는 불법 포럼에서 판매되기 시작한 악성코드로서 C&C 서버로부터 추가 악성코드를 설치하는 다운로더다. 아마디봇은 다운로더 외에 감염 시스템의 기본적인 정보 전송, 설정 및 플러그인 설치 여부에 따라 스크린샷, 웹 브라우저나 이메일 클라이언트에 저장된 계정정보도 탈취한다.

​

▲Public 경로에 생성된 Amadey 연관 파일들[자료=안랩 ASEC 분석팀]

공격자는 올 한해에도 다수의 공격을 통해 아마디봇을 설치했으며 대부분 동일한 형태의 드로퍼 악성코드가 이를 설치했다. 해당 드로퍼 악성코드로는 RftRAT 악성코드가 악용됐다.

최근에는 김수키 해킹그룹이 오토잇을 이용해 악성코드를 제작하는 것이 확인됐다. 이전부터 사용하던 아마디를 오토잇으로 포팅해 제작했으며, RftRAT을 인젝션하는 용도로도 사용했다.

먼저, 김수키 해킹그룹이 사용한 아마디는 일반 공격자들이 사용하던 유형과 다르게 대표적으로 DGA(Domain Generation Algorithms)를 사용하고, 감염 시스템에 설치된 안티바이러스를 검사할 때 국내 업체들의 이름이 존재한다는 특징이 있다. 이번에 확인된 아마디는 오토잇 언어로 포팅됐으며, 이전 공격 사례에서 확인되는 유형들과 같은 형태다.

공격에 사용된 오토잇 스크립트 중에는 RftRAT도 있다. 오토잇 실행 파일과 악성 오토잇 스크립트는 드로퍼 악성코드를 통해 생성되기도 한다. 참고로 동일한 시스템은 이후 김수키 해킹그룹의 다른 악성코드인 애플시드가 추가로 설치되기도 했다.

​

▲김수키 해킹그룹의 공격 로그[자료=안랩 ASEC 분석팀]

컴파일된 오토잇 스크립트의 실질적인 기능은 svchost.exe를 실행하고 여기에 RftRAT을 인젝션하는 인젝터다. 최종 페이로드인 RftRAT은 단독으로는 실행이 불가능하며, 매핑된 특정 이름의 파일에서 데이터를 읽어와야 한다.

관리자 권한으로 실행된 RftRAT은 감염 시스템의 기본 정보를 수집하고 C&C 서버에 전송한다. 그 이후 C&C 서버에서 명령을 전달받는 RftRAT은 해당 명령을 특정 경로에 쓰고 이를 복호화한다. 복호화한 결과는 실제 명령인데 이를 동일한 파일에 쓰고 다시 읽어와 사용한다.

김수키 해킹그룹은 제어를 탈취한 이후에도 키로거, 웹 브라우저 계정 및 쿠키 정보 추출 도구 등 다양한 악성코드를 설치해 감염 시스템의 정보를 탈취한다.

키로거는 시스템에 상주하면서 사용자의 키 입력을 모니터링해 특정 경로에 저장한다. 웹 브라우저 관련 정보 수집 악성코드는 특정 경로에 ‘GBIA.exe’, ‘GBIC.exe’, ‘GBS.exe’, ‘GPIA.dll’ 등의 이름으로 생성됐다.

​

▲웹 브라우저 계정 정보 탈취[자료=안랩 ASEC 분석팀]

김수키 해킹그룹은 정보 탈취를 위해 RDP를 악용하는 경우가 많다는 특징이 있다. 이에 따라 RDP Wrapper를 설치하거나 멀티 세션을 위한 패치 악성코드를 사용하기도 한다. 최근에는 사용자의 로그온 기록을 모니터링하는 악성코드도 확인되고 있다. 공격자는 이외에도 프록시(Proxy) 악성코드도 사용했다. 기본 설정 주소에 RDP의 포트 번호인 3389가 설정돼 있는 것을 보면 사설 네트워크에 RDP 연결을 위한 목적으로 추정된다.

김수키 해킹그룹은 국내 사용자를 대상으로 지속적으로 스피어 피싱 공격을 수행했다. 최근에는 다양한 주제를 이용한 악성 LNK 파일의 유포되고 있어 사용자들의 주의가 필요하다.

안랩 ASEC 분석팀은 “김수키 해킹그룹은 감염 시스템을 제어하고 정보를 탈취하기 위해 다양한 악성코드들을 새롭게 제작해 사용하고 있다”며 “최근에는 보안 제품을 우회하기 위해 오토잇을 이용해 악성코드를 제작하고 있다”고 말했다. 이어 “사용자는 메일의 발신자를 꼼꼼히 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”며 “OS와 인터넷 브라우저 등의 최신 패치 및 백신 업데이트로 악성코드의 감염을 사전에 차단해야 한다”고 덧붙였다.

[김영명 기자(boan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=124414&page=1&mkind=1&kind=1)]​