Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)

ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다.

VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다.

Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치하여 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는 먼저 TinyNuke 악성코드가 있다.

1. TinyNuke (HVNC)

Nuclear Bot이라고도 알려진 TinyNuke는 2016년부터 확인된 뱅킹 악성코드로서 HVNC (HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능들을 포함한다. TinyNuke는 2017년경 소스 코드가 공개됨에 따라 다양한 공격자들에 의해 사용되고 있으며, 그 중에서 HVNC, Rverse SOCKS4 Proxy 기능은 AveMaria, BitRAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.

유포되고 있는 TinyNuke는 기존의 다양한 기능들 중에서 HVNC 기능만 활성화되어 있다. 참고로 일반적인 VNC와 TinyNuke가 사용하는 HVNC의 차이점은 감염된 사용자가 자신의 화면이 제어되고 있다는 사실을 인지하지 못하는 것이다. 아래 그림은 HVNC 기능이 활성화될 경우의 프로세스 트리이다.

프로세스 트리를 보면 explorer.exe (PID : 2216)의 자식 프로세스로 explorer.exe (PID : 3140)가 존재한다. 공격자는 새로운 explorer.exe (PID : 3140)를 통해 화면제어가 가능하며 공격자가 피해 PC를 제어하는 동안 생성하는 프로세스의 GUI(Graphical user interface)는 피해 PC 화면에서는 보이지 않는다. 이러한 VNC 원격 접근을 HVNC(Hidden Virtual Network Computing)라고 한다.

또 다른 특징이라고 한다면 Reverse VNC 방식이라는 점이다. VNC는 서버와 클라이언트로 이루어져 있으며 제어 대상 시스템에 VNC 서버를 설치하고 해당 시스템을 원격으로 제어하고자 하는 사용자는 VNC 클라이언트를 이용한다. VNC 클라이언트에서는 원격 제어 대상 시스템에 설치된 VNC 서버를 거쳐 제어가 가능해진다.

일반적인 VNC 환경에서는 VNC 클라이언트를 통해 원격 제어 대상 즉 VNC 서버에 접속을 시도하지만, TinyNuke의 HVNC는 Reverse VNC 기능을 지원함에 따라 서버에서 클라이언트로 접속을 시도한다. 즉 감염 시스템의 HVNC가 실행되면 지정된 C&C 서버에 접속하며, C&C 서버에서 VNC 클라이언트(HVNC 기준으로는 서버)를 이용해 대기하던 공격자는 아래와 같이 원격 제어가 가능해진다. 이는 Reverse Shell과 같이 외부에서 내부로의 접근을 차단하는 방화벽을 우회하고 사설 IP 환경에서도 통신을 지원하기 위한 것으로 추정된다.

참고로 TinyNuke는 서버와 클라이언트 간 HVNC 통신을 확립할 때 “AVE_MARIA” 문자열을 이용해 검증한다. 즉 HVNC 클라이언트에서 서버로 “AVE_MARIA” 문자열을 보내면 서버에서는 이름 검증하여 “AVE_MARIA”가 맞을 경우에 HVNC 통신이 가능해진다.

이는 Kimsuky 그룹에서 사용하는 HVNC에서도 동일한데, 최근에는 다음과 같이 “LIGHT’S BOMB” 문자열을 사용하는 HVNC들이 확인되고 있다.

2. TightVNC (VNC)

Kimsuky 그룹에서 AppleSeed 백도어를 통해 유포하는 또 다른 VNC 악성코드로는 TightVNC가 있다. TightVNC는 오픈 소스 VNC 유틸리티이며 공격자는 이를 커스터마이징해서 사용한다. TightVNC는 일반적인 VNC 유틸리티라고 할 수 있지만, 앞에서도 다룬 Reverse VNC 기능을 지원하는 점이 특징이라고 할 수 있다.

TightVNC는 서버 모듈인 tvnserver.exe와 클라이언트 모듈인 tvnviewer.exe로 이루어져 있다. 일반적인 환경에서는 원격 제어 대상에 tvnserver를 설치하고 사용자 환경에서 tvnviewer를 이용해 제어 대상에 접속할 것이다. Reverse VNC 기능을 사용하기 위해서는 클라이언트에서 tvnviewer를 리스닝 모드로 실행한 후 접속 대상 시스템에 서비스로 설치된 tvnserver를 이용해 controlservice 및 connect 명령으로 클라이언트의 주소를 설정하여 접속하게 할 수 있다.

Kimsuky 그룹에서 유포하는 것은 tvnserver이며, 감염 환경에서 서비스 설치 없이 단독으로 Reverse VNC 기능을 사용할 수 있도록 커스터마이징한 형태이다. 이에 따라 단순히 tvnserver를 실행만 하더라도 C&C 서버에서 동작하는 tvnviewer에 접속하여 공격자는 감염 시스템에 대한 화면 제어가 가능해진다.

3. 결론

Kimsuky 그룹에서는 이전 블로그에도 소개되었듯이 AppleSeed를 이용해 또 다른 백도어 악성코드인 미터프리터를 설치하기도 하며, 화면 제어를 위해 TinyNuke, TightVNC 및 RDP Wrapper를 이용하고 있다. 이외에도 계정 정보 탈취를 위한 미미카츠와 같은 정황도 함께 확인되고 있다.

현재 Kimsuky 그룹의 악성코드 동향을 지속적으로 모니터링 중에 있으며 사용자는 의심스러운 메일의 첨부 파일 열람이나 신뢰할 수 없는 사이트는 되도록 방문하지 않도록 각별한 주의가 필요하다.

• 진단명정보

Trojan/Win.VNC (2021.09.16.00)
Trojan/Win.TinyNuke (2021.09.16.03)
Trojan/Win.HVNC (2021.09.18.01)

• IOC

[TinyNuke]

[MD5]
00ced88950283d32300eb32a5018dada
535827d41b144614e582167813fbbc4c
67aa7ddecc758dddfa8afc9d4c208af1
93efab6654a67af99bbc7f0e8fcf970f
f7839eeb778ff17cf3c3518089f9bbec
dd90cb5dcd7bd748baa54da870df606c
5bd6cb6747f782c0a712b8e1b1f0c735
16c0e70e63fcb6e60d6595eacbd8eeba

[C&C}
27.102.102.70:33890
27.102.112.58:33890
31.172.80.104:3030
27.255.81.109:33890
27.255.81.71:33890
79.133.41.237:3030

[TightVNC]

[MD5]
26eaff22da15256f210762a817e6dec9
088cb0d0628a82e896857de9013075f3
9a71e7e57213290a372dd5277106b65a
db4ff347151c7aa1400a6b239f336375
4301a75d1fcd9752bd3006e6520f7e73
a07ddce072d7df55abdc3d05ad05fde1
5b6da21f7feb7e44d1f06fbd957fd4e7
be14ced87e2203ad5896754273511a14
4fdba5a94e52191ce9152a0fe1a16099
bb761c2ac19a15db657005e7bc01b822

[C&C]
27.102.114.79:5500
27.102.127.240:5500
31.172.80.104:5500
27.102.114.89:5500
27.102.128.169:5500
27.255.81.109:5500
31.172.80.104:5500
61.14.211.175:5500
27.255.81.71:5500

연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.