북한 해킹그룹 김수키, 새로 제작한 ‘해피도어’ 백도어 유포

2024-09-01 23:40
  • 카카오톡
  • 네이버 블로그
  • url
해피도어 악성코드, 교수나 기관으로 위장해 스피어피싱 메일로 유포
백도어 실행인자 ‘install*/init*/run*’ 실행...스케줄러 등록 및 추가 악성 행위 실행


[보안뉴스 박은주 기자] 북한 해킹그룹 김수키(Kimsuky)가 제작한 것으로 추정되는 ‘Happy Dppr(해피도어)’ 백도어가 유포되고 있다. 특정 교수나 기관 등으로 위장해 스피어피싱 메일을 통해 감염되는 사례가 발견됐다.


[이미지=gettyimagesbank]

안랩 시큐리티 인텔리전스 센터(ASEC)에 따르면 해피도어 악성코드는 압축 파일 형태로 존재한다. 난독화된 JScript 또는 드로퍼(Dropper, 실행파일)로 압축 파일 실행 시 정상 미끼 파일이 함께 생성 및 실행된다.


▲해피도어 악성코드 샘플 버전 정보[자료=ASEC]

해피도어 악성코드는 2021년 최초 수집된 이후 최근까지 버전 정보를 변화한 형태가 확인됐다. 특히 2023년 12월부터 2024년 2월까지 수집된 샘플은 최소 한 달 주기로 보완한 것으로 보인다.

초기 수집된 해피도어에 비해 최근 발견된 버전에서는 악성코드 작동을 위해 필요한 특정 조건인 ‘실행 인자’가 발견됐다. 해피도어는 실행 인자에 따라 동작이 구분된다. 감염 시 처음에 ‘install*’을 인자로 실행된다. 이때 스케줄러를 등록하고, 자가 복제 및 기존 파일을 삭제하는 행위가 이어진다. 이후 ‘init*’으로 재실행되며 그 다음에는 실제 악성 행위를 수행하는 ‘run*’을 인자로 넣어 실행하는 방식이다.


▲해피도어 악성코드 행위[자료=ASEC]

해피도어는 그래픽을 읽거나 파일을 읽고 쓰는 기능을 담당 DLL 형태로 실행한다. 최종적으로 ‘egsvr32.exe’를 통해 동작하며, 실행 시 프로세스(regsvr32) 커맨드라인을 제거한 후 regsvr32의 실행 인자를 확인해 동작하게 된다.

‘run*’에서는 정보 탈취 및 백도어 등 주요 악성 행위를 수행한다. 특히 주요 정보 탈취 기능은 총 6가지로 △화면 캡쳐(Screenshoot) △키로깅(Keylogger) △파일 유출(Filemon) △연결된 장치 정보(Alarm) △녹음(Micrec) △안드로이드 내 파일 유출(Mtpmon) 문자열이 존재한다. 정보 유출 시 RSA와 RC4키를 사용해 데이터를 암호화한 후 탈취하며 이후 백도어 행위를 수행한다.

해피도어 백도어 설치 후 추가적인 악성행위가 이어질 수 있어 각별한 주의가 요구된다. 김수키 그룹이 자주 사용하는 엔지록(Ngrok) 등 프록시 도구를 통해 네트워크 환경을 구축한다. 부족한 원격 제어 기능들을 보완하기 위해 VNC 악성코드나 크롬 원격 데스크톱, RDP Wrapper와 같은 프로그램을 설치할 수 있다. 나아가 권한 상승 및 계정 정보 탈취를 위한 다양한 악성코드를 설치하는 이력도 확인됐다.

따라서 사용자는 출처가 불분명한 메일 첨부파일이나 웹 페이지에서 내려받은 파일을 실행할 때 각별한 주의를 기울여야 한다. ASEC는 “기업 보안 담당자는 사용 중인 소프트웨어 모니터링을 강화하고 프로그램 보안 취약점이 있다면 패치해야 한다”고 당부했다. 또한, OS 및 인터넷 브라우저 등 프로그램을 최신 버전으로 유지하고 백신 등을 통해 악성코드를 사전에 차단할 수 있도록 보안을 강화해야 한다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기