北 김수키, 최신 공격 사례... RDP Wrapper 악용 및 PebbleDash 악성코드 유포

2024-11-14 23:32
  • 카카오톡
  • 네이버 블로그
  • url
스피어 피싱으로 최초 침투, 문서로 위장한 바로가기 파일 형식의 악성코드 유포
RDP 래퍼로 감염 시스템 원격제어, 페블대시 백도어 악성코드 설치로 악성행위 지속
메일 발신자 상세하게 확인하고 출처 불분명한 파일은 열람 자제해야


[보안뉴스 박은주 기자] 북한의 김수키(Kimsuky) 해킹 그룹이 원격 데스크톱 도구인 RDP Wrapper(RDP 래퍼)를 악용하고 페블대시(PebbleDash) 악성코드를 사용하는 새로운 형태의 공격을 이어가고 있다. PC를 완전히 제어하고, 보안 프로그램 탐지를 우회하는 등 공격 수법이 더욱 고도화되고 있어 각별한 주의가 요구된다.


▲RDP 래퍼 및 페블대시 악성코드를 활용한 김수키의 최신 공격 사례 흐름도[자료=ASEC]


▲정상 PDF 파일, 문서 파일로 위장한 바로가기 형식의 악성코드[자료=ASEC, 이미지 재구성=보안뉴스]
ASEC(안랩 시큐리티 인텔리전스 센터)의 분석에 따르면 김수키는 최초 침투를 위해 스피어 피싱 공격을 감행했다. 이메일 내부에 문서 파일로 위장한 바로가기(LNK) 파일 형식의 악성코드가 담겨 있다. 공격자는 해당 파일의 아이콘을 문서 파일 아이콘으로 바꾸고, 제목에 직원 이름이나 회사명을 포함했다. 특정 사용자를 대상으로 악성코드를 유포하는 것으로 추정된다.

파일이 실행되면 파워쉘 혹은 Mshta 프로그램을 이용해 공격자 서버로부터 추가 악성코드 스크립트를 내려받아 실행한다. 최종적으로 △다른 스크립트 파일 실행 △스크립트 파일 런키 등록 및 작업 스케줄러 등록 △추가 파일 다운로드 및 실행 이상 3가지 기능을 수행하는 스크립트가 실행된다.


▲지속성 유지 관련 파워쉘 스크립트[자료=ASEC]

시스템을 재부팅해도 악성 스크립트가 실행될 수 있도록 했다. 피해 시스템에 상주해 공격자의 C&C 서버와의 지속적인 연결 유지를 위해 작업 스케줄러 및 자동 실행 레지스트리 키에 스크립트 실행 관련 명령어를 등록했다.

ASEC에 따르면 공격자는 침투 이후 RDP 래퍼를 활용해 시스템을 제어했다. RDP를 활성화하고 백도어 계정을 등록해서 RDP 래퍼를 이용해 감염 시스템을 원격으로 제어하는 것이다. 공격 과정에서 김수키가 자체 제작한 것으로 알려진 프록시(Proxy) 악성코드가 함께 사용됐다.

추가로 2024년 초부터는 페블대시 백도어가 다수의 공격에 사용되고 있다. 김수키 그룹이 그동안 주로 사용하던 애플시드(AppleSeed)나 해피도어(HappyDoor)보다 페블대시를 활용하는 빈도가 높아졌다. 페블대시 백도어는 파일 생성 및 삭제, 쉘 명령 실행 등 다양한 악성 행위를 지속적으로 수행할 수 있다. 페블대시는 과거 북한의 라자루스(Lazarus) 해킹 그룹이 사용했던 이력도 있다.

기존 백도어는 ‘Regsvr32.exe’ 프로그램을 통해 악성 DLL 파일을 실행했지만, 페블대시 백도어는 Windows 보안 설정(레지스트리 키)에 파일을 등록해 ‘lsass.exe’ 시스템 프로세스에 악성 DLL이 몰래 삽입되도록 방식이 변형됐다. 이는 보안 프로그램의 탐지를 피하면서 악성 기능을 실행하려는 의도로 분석된다. 김수키는 또한 RATClient, AsyncRAT 백도어와 함께 다양한 정보 탈취 도구와 권한 상승 도구를 사용하고 있다.

ASEC는 “사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다”며 “OS 및 인터넷 브라우저 등 각 프로그램에 대한 최신 패치하고 V3 등 백신을 최신 버전으로 업데이트해 악성코드 감염을 사전에 차단할 수 있도록 신경 써야 한다”고 당부했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기