RDP 래퍼로 감염 시스템 원격제어, 페블대시 백도어 악성코드 설치로 악성행위 지속
메일 발신자 상세하게 확인하고 출처 불분명한 파일은 열람 자제해야
[보안뉴스 박은주 기자] 북한의 김수키(Kimsuky) 해킹 그룹이 원격 데스크톱 도구인 RDP Wrapper(RDP 래퍼)를 악용하고 페블대시(PebbleDash) 악성코드를 사용하는 새로운 형태의 공격을 이어가고 있다. PC를 완전히 제어하고, 보안 프로그램 탐지를 우회하는 등 공격 수법이 더욱 고도화되고 있어 각별한 주의가 요구된다.
▲RDP 래퍼 및 페블대시 악성코드를 활용한 김수키의 최신 공격 사례 흐름도[자료=ASEC]
▲정상 PDF 파일, 문서 파일로 위장한 바로가기 형식의 악성코드[자료=ASEC, 이미지 재구성=보안뉴스]
ASEC(안랩 시큐리티 인텔리전스 센터)의 분석에 따르면 김수키는 최초 침투를 위해 스피어 피싱 공격을 감행했다. 이메일 내부에 문서 파일로 위장한 바로가기(LNK) 파일 형식의 악성코드가 담겨 있다. 공격자는 해당 파일의 아이콘을 문서 파일 아이콘으로 바꾸고, 제목에 직원 이름이나 회사명을 포함했다. 특정 사용자를 대상으로 악성코드를 유포하는 것으로 추정된다.
파일이 실행되면 파워쉘 혹은 Mshta 프로그램을 이용해 공격자 서버로부터 추가 악성코드 스크립트를 내려받아 실행한다. 최종적으로 △다른 스크립트 파일 실행 △스크립트 파일 런키 등록 및 작업 스케줄러 등록 △추가 파일 다운로드 및 실행 이상 3가지 기능을 수행하는 스크립트가 실행된다.
▲지속성 유지 관련 파워쉘 스크립트[자료=ASEC]
시스템을 재부팅해도 악성 스크립트가 실행될 수 있도록 했다. 피해 시스템에 상주해 공격자의 C&C 서버와의 지속적인 연결 유지를 위해 작업 스케줄러 및 자동 실행 레지스트리 키에 스크립트 실행 관련 명령어를 등록했다.
ASEC에 따르면 공격자는 침투 이후 RDP 래퍼를 활용해 시스템을 제어했다. RDP를 활성화하고 백도어 계정을 등록해서 RDP 래퍼를 이용해 감염 시스템을 원격으로 제어하는 것이다. 공격 과정에서 김수키가 자체 제작한 것으로 알려진 프록시(Proxy) 악성코드가 함께 사용됐다.
추가로 2024년 초부터는 페블대시 백도어가 다수의 공격에 사용되고 있다. 김수키 그룹이 그동안 주로 사용하던 애플시드(AppleSeed)나 해피도어(HappyDoor)보다 페블대시를 활용하는 빈도가 높아졌다. 페블대시 백도어는 파일 생성 및 삭제, 쉘 명령 실행 등 다양한 악성 행위를 지속적으로 수행할 수 있다. 페블대시는 과거 북한의 라자루스(Lazarus) 해킹 그룹이 사용했던 이력도 있다.
기존 백도어는 ‘Regsvr32.exe’ 프로그램을 통해 악성 DLL 파일을 실행했지만, 페블대시 백도어는 Windows 보안 설정(레지스트리 키)에 파일을 등록해 ‘lsass.exe’ 시스템 프로세스에 악성 DLL이 몰래 삽입되도록 방식이 변형됐다. 이는 보안 프로그램의 탐지를 피하면서 악성 기능을 실행하려는 의도로 분석된다. 김수키는 또한 RATClient, AsyncRAT 백도어와 함께 다양한 정보 탈취 도구와 권한 상승 도구를 사용하고 있다.
ASEC는 “사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”며 “OS 및 인터넷 브라우저 등 각 프로그램에 대한 최신 패치하고 V3 등 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>