Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황

2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다.

자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.

  • 기존 Gold Dragon이 사용하는 인젝션 기법이 동일 (iexplore.exe, svchost.exe 등에 프로세스 할로잉 하는 행위)
  • 자사 제품 실시간 탐지 윈도우 클래스 종료 기능 (49B46336-BA4D-4905-9824-D282F05F6576)
  • 다음 클리너(daumcleaner.exe) 프로세스 종료

공격자는 Gold Dragon을 설치할 때 전용 인스톨러(installer_sk5621.com.co.exe)를 통해 설치하였다. 인스톨러는 공격자 서버에서 GZip 형식으로 압축된 Gold Dragon을 다운받아 %temp% 경로에 “in[랜덤4자리].tmp”로 압축해제 한 뒤 rundll32.exe를 통해 실행하는 기능을 지닌다.

설치된 Gold Dragon은 총 4개의 익스포트(Export) 함수를 갖고있다.

  • Perform
  • Process
  • Start
  • Work

인스톨러가 Gold Dragon을 최초 실행할 때 “Start” 인자를 전달하여 실행한다. “Start” 익스포트 함수가 실행되면 Gold Dragon은 자기 자신을 특정 경로에 복사한 뒤 자동 실행 레지스트리 키에 복사된 DLL을 등록한다. 이때 DLL 실행 인자는 “Perform” 익스포트 함수가 전달된다.

[그림 1] 레지스트리 등록 및 자가 복제 경로

이번에 확인된 변종은 정보 유출 기능이 모듈화된 것으로 추정된다. 다음과 같이 Gold Dragon이 주로 사용하는 시스템 정보를 획득 커맨드 실행 기능이 변종 Gold Dragon에는 존재하지 않았다. 즉, 이는 시스템 정보 획득을 위해 추가 페이로드가 새롭게 공격자 서버로 부터 다운로드 될 수 있음을 의미한다.

  • cmd.exe /c ipconfig/all >>”%s” & arp -a >>”%s”
  • cmd.exe /c systeminfo >>”%s”
  • cmd.exe /c tasklist >>”%s”

이처럼 시스템 프로세스를 통해 정보를 획득하지 않고 공격자는 시스템 원격 제어가 가능한 xRAT(파일명 : cp1093.exe)을 감염 PC에 추가로 설치하여 정보 탈취 기능을 수행하였다. cp1093.exe가 실행되면 “C:\ProgramData\” 경로에 정상 파워쉘 프로세스(powershell_ise.exe)를 복사한 뒤 프로세스 할로잉 기법으로 xRAT을 실행한다.

[그림 2] xRAT 악성코드

이외에도 공격자는 xRAT 유포와 함께 타겟 PC에 존재하는 기존에 공격한 흔적을 제거하기 위한 추가 파일(UnInstall_kr5829.co.in.exe)을 유포하는 치밀함이 확인되었다.

[그림 3] 감염 흔적 삭제 관련 코드

안랩에서는 이러한 APT 형태의 공격을 지속적으로 모니터링 및 대응 중에 있으며 사용자는 출처가 불분명한 메일의 첨부파일 열람을 지양하고 보안 제품 업데이트를 최신으로 유지하여 정보 유출 피해를 예방 해야한다.

[IOC]

[인스톨러]
Installer_sk5621.com.co.exe (40b428899db353bb0ea244d95b5b82d9)
진단명 (엔진버전) : Downloader/Win.Akdoor.C4936791 (2022.01.28.02)

[Gold Dragon]
glu32.dll (4ea6cee3ecd9bbd2faf3af73059736df)
진단명 (엔진버전) : Backdoor/Win.Akdoor.C4936792 (2022.01.28.02)
C&C : https[:]//sk5621.com[.]co

[xRAT]
cp1093.exe (070f0390aad17883cc8fad2dc8bc81ba)
진단명 (엔진버전) : Backdoor/Win.XRat.C4936798 (2022.01.28.02)
C&C : 45.77.71[.]50:8082

[언인스톨러]
UnInstall_kr5829.co.in.exe (b841d27fb7fee74142be38cee917eda5)
진단명 (엔진버전) : Trojan/Win.Akdoor.C4936809 (2022.01.28.02)

5 2 votes
별점 주기
guest
0 댓글
Inline Feedbacks
View all comments