| 개요 초기 침투 방식 …. 2.1. 스피어 피싱 공격 …. 2.2. LNK 악성코드 원격 제어 악성코드 …. 3.1. XRat (Loader) …. 3.2. Amadey …. 3.3. 최신 공격 사례 …….. 3.3.1. AutoIt Amadey …….. 3.3.2. RftRAT 감염 이후 …. 4.1. 키로거 …. 4.2. 인포스틸러 …. 4.3. 기타 유형들 결론 |
1. 개요
북한의 지원을 받고 있다고 알려진 Kimsuky 위협 그룹은 2013년부터 활동하고 있다. 초기에는 한국의 북한 관련 연구기관 등에 대한 공격을 진행하였으며 2014년 한국의 에너지 기관에 대한 공격이 그리고 2017년 이후에는 한국 외 다른 나라에 대한 공격도 확인되고 있다. [1] 주로 스피어 피싱 공격을 통해 국방, 방위산업, 언론, 외교, 국가기관, 학술 분야를 공격 중이며 조직의 내부 정보 및 기술 탈취를 목적으로 한다. [2]
Kimsuky 그룹은 최근까지도 초기 침투 경로로서 스피어 피싱 공격을 주로 사용하고 있다. 과거와 비교하여 최근 공격 사례들만의 특징으로는 한글이나 MS 오피스 문서 포맷의 악성코드 대신 LNK 포맷의 바로 가기 악성코드들이 사용되는 사례가 늘고 있다는 점이다. 공격자는 스피어 피싱 메일의 첨부 파일 및 다운로드 링크를 통해 압축 파일 다운로드를 유도하고 압축을 해제하면 정상 문서 파일과 악성 LNK 파일이 함께 존재한다.
ASEC에서는 LNK 악성코드를 이용한 Kimsuky 그룹의 공격 사례를 모니터링하고 있으며 지속적으로 확인된 공격 사례들을 블로그에 게시하고 있다. Kimsuky 그룹은 이러한 최초 침투 과정 이후 감염 시스템을 제어하기 위해 원격 제어 악성코드들을 설치한다. Kimsuky 그룹이 사용하는 악성코드들로는 AppleSeed, PebleDash [3] 같이 직접 제작한 유형들 외에도 XRat [4], HVNC [5], Amadey [6], Metasploit Meterpreter [7] 등 오픈 소스이거나 판매 중인 악성코드들이 있다. 제어를 탈취한 이후에는 최종적으로 RDP를 활용하거나 구글의 크롬 원격 데스크톱을 설치하여 [8] 감염 시스템의 정보를 탈취한다.
여기에서는 최근 유포가 확인된 Amadey와 RftRAT 악성코드를 분석 대상으로 한다. Amadey와 RftRAT은 XRat과 함께 2023년 동안 지속적으로 사용되었지만 최근에는 AutoIt으로 제작된 형태들이 확인되었다. 그리고 Kimsuky 그룹이 원격 제어 악성코드들을 이용해 추가적으로 설치하는 정보 탈취형 악성코드들을 함께 다룬다. 원격 제어 목적의 악성코드는 지속적으로 변경되고 있지만 이를 이용해 설치하는 악성코드들은 2023년 동안 큰 차이 없이 꾸준히 공격에 사용되고 있는 것이 특징이다.
2. 초기 침투 방식
2.1. 스피어 피싱 공격
ASEC에서는 2023년 한 해 동안 “정상 한글 문서를 위장한 악성 링크 파일(LNK)” [9], “국세청을 사칭한 악성 LNK 유포” [10], “기업 홍보물 제작을 위장한 악성 LNK 유포” [11] 등의 블로그를 통해 LNK 악성코드를 유포하는 공격 사례들을 공개한 바 있다.
공격자는 이메일에 파일을 첨부하거나 다운로드 링크를 첨부하여 사용자로 하여금 압축 파일을 다운로드하고 내부에 존재하는 LNK 바로가기 파일을 실행하도록 유도하였다.
2.2. LNK 악성코드
LNK 파일의 내부에는 암호화된 형태로 저장되어 있는 압축 파일이 존재하며 여기에는 다양한 스크립트 악성코드들이 존재한다.
LNK를 실행하면 해당 압축 파일의 압축이 해제되고 최종적으로 스크립트 악성코드가 실행된다. 내부에 존재하는 BAT, VBS 스크립트는 다른 스크립트를 실행하거나 감염 시스템의 정보를 수집해 탈취하는 기능을 담당하는 인포스틸러가 있다. 또한 지속성 유지를 담당하거나 추가 페이로드를 외부에서 다운로드해 실행하는 다운로더도 존재한다.
이렇게 감염 시스템에서 동작하는 스크립트 악성코드들은 외부에서 추가 악성코드를 설치하는데 대표적으로 XRat과 Amadey, RftRAT이라고 하는 백도어 악성코드들이 있다. 이 유형들은 모두 VMP로 패킹된 상태로 유포되지만 최근에는 오토잇으로 제작한 Amadey와 RftRAT이 사용되는 것이 특징이다. 원격 제어 악성코드를 설치한 이후에는 키로거, 정보 탈취형 악성코드들을 설치하여 최종적으로 조직의 내부 정보 및 기술 탈취를 목적으로 하는 것으로 보인다.
3. 원격 제어 악성코드
3.1. XRat (QuasarRAT)
XRat은 닷넷으로 개발된 RAT 악성코드로서 깃허브에 공개되어 있는 QuasarRAT을 기반으로 제작되었다. Kimsuky 그룹이 XRat을 사용한 것은 훨씬 과거부터 확인되고 있지만 최근에는 단독 실행 파일이나 DLL이 아니라 암호화된 페이로드 형태로 공격에 사용하는 것이 특징이다. 로더 기능을 담당하는 악성코드 “ht.dll”과 설정이 포함된 데이터 파일 “htsetting.ini” 파일 그리고 암호화된 페이로드로 구성되는데 이러한 방식은 보안 제품을 우회하기 위한 목적으로 추정된다.
Loader 악성코드는 동일 경로에 위치한 htsetting.ini 파일을 읽어와 복호화 한 후 인젝션하는 기능을 담당한다. 현재까지 확인된 로더 악성코드 ht.dll은 모두 VMP로 패킹되어 사용되었으며 복호화 된 바이너리에서는 다음과 같이 공격자가 사용한 문자열들이 확인된다.
설정 파일에는 암호화된 실제 악성코드 파일의 이름, RC4 복호화 키 그리고 인젝션 대상이 될 정상 파일의 정보가 있다. Ht.dll은 해당 정보를 참고하여 암호화된 파일을 읽어와 복호화하고 정상 프로세스에 인젝션한다. 최종적으로 인젝션되어 동작하는 페이로드는 암호화된 파일에 따라 XRat 외에 다른 악성코드일 수도 있다.
3.2. Amadey
Kimsuky 그룹은 이외에도 Amadey Bot을 공격에 사용하였다. Amadey는 불법 포럼에서 판매되기 시작한 악성코드로서 C&C 서버로부터 추가 악성코드를 설치하는 다운로더이다. 물론 이러한 다운로더 기능 외에 감염 시스템의 기본적인 정보들을 전송하거나 설정 및 플러그인 설치 여부에 따라 스크린샷, 웹 브라우저나 이메일 클라이언트에 저장된 계정 정보를 탈취할 수도 있다.
Kimsuky 그룹은 드로퍼를 이용해 Amadey를 설치하는데 DLL 포맷의 드로퍼 악성코드는 다음과 같이 %PUBLIC% 경로에 랜덤 한 이름의 폴더를 숨김 속성으로 생성하고 내부에 존재하는 파일들을 드롭한다. 생성한 파일들 중에는 실제 Amadey가 포함된 압축 파일이 존재하는데 압축 해제 크기를 보면 300MB 이상의 큰 사이즈인 것을 알 수 있다. 이 또한 보안 제품을 우회하기 위해 의도적으로 크기를 키운 것으로 추정된다.
이후 “%ALLUSERSPROFILE%\Startup” 경로를 생성하고 시작 폴더에 등록하는데 여기에는 지속성유지를 담당하는 “svc.vbs”라는 이름의 스크립트가 생성된다. Rundll32.exe 프로세스에 의해 로드되어 실행되는 Amadey는 svchost.exe 프로세스를 거쳐 최종적으로 iexplore.exe 프로세스에 인젝션되어 동작한다.
공격자는 2023년 동안에도 다수의 공격을 통해 Amadey를 설치하였으며 대부분 동일한 형태의 드로퍼 악성코드가 이를 설치하였다. 해당 드로퍼 악성코드는 Amadey 외에도 RftRAT 악성코드를 설치하기도 하였다. RftRAT 또한 Amadey와 유사하게 300MB 이상의 크기를 갖는다.
해당 공격들에서 확인된 RftRAT은 모두 Amadey와 동일하게 VMP로 패킹되어 있으며 복호화 된 문자열들에서 RFTServer라는 키워드를 확인할 수 있다. RftRAT은 C&C 서버로부터 명령을 전달받아 수행할 수 있는 백도어 악성코드이다.
3.3. 최신 공격 사례
최근에는 Kimsuky 그룹이 오토잇을 이용해 악성코드를 제작하고 있는 것이 확인되었다. 이전부터 사용하던 Amadey를 AutoIt으로 포팅하여 제작하기도 하였으며 RftRAT을 인젝션하는 용도로도 사용하였다.
과거 공격 사례에서는 RFTServer라고 하는 디버그 문자열만 확인되었지만 최근 공격에서는 PDB 경로가 포함된 악성코드가 확인되었다. PDB 경로에 존재하는 문자열을 통해 공격자가 RAT 유형으로서 rft라고 이름 붙인 것을 알 수 있으며 이에 따라 여기에서는 해당 악성코드를 RftRAT으로 분류한다.
- PDB 문자열 : E:_WORK\My_Work\Exploit\Spyware_spy\RAT\RFT_Socket_V3.2\Release\rft.pdb
3.3.1. AutoIt Amadey
위에서 다루었다시피 Amadey는 Kimsuky 그룹이 과거부터 꾸준히 사용하던 악성코드들 중 하나이다. Kimsuky 그룹이 사용한 Amadey는 일반적인 공격자들이 사용하던 유형과 차이점이 존재하는데 대표적으로 DGA(Domain Generation Algorithms)를 사용한다는 점과 감염 시스템에 설치된 AntiVirus를 검사할 때 국내 업체들의 이름이 존재한다는 점이 그것이다.
이번에 확인된 Amadey는 AutoIt 언어로 포팅되어 있으며 이전 공격 사례에서 확인되는 유형들과 동일한 형태이다. 공격자는 정상 오토잇 실행 파일과 컴파일된 오토잇 스크립트를 감염 시스템에 설치하였다. 컴파일된 오토잇 스크립트는 분석 방해를 위해 100MB 크기를 갖으며 다음과 같이 더미 데이터가 포함되어 있다.
복호화 된 오토잇 스크립트는 비록 언어는 다르지만 Amadey 악성코드라고 할 수 있는데 감염 시스템 정보를 수집한 이후 C&C 서버에 전달할 때의 HTTP 요청 구조가 전형적인 Amadey와 동일하다.
이외에도 감염 시스템에 설치된 AntiVirus 목록을 구할 때 국내 업체를 검사하는 루틴이 존재하며 exe 포맷 외에도 dll, 파워쉘, vbs 및 js 포맷의 추가 페이로드를 다운로드 실행하는 기능도 지원한다.
위에서도 언급했다시피 Kimsuky 그룹이 사용하는 Amadey는 DGA를 지원한다. DGA는 도메인 생성 알고리즘으로서 정해진 형태가 아닌 동적으로 도메인 즉 C&C 서버 주소를 생성하는 알고리즘이다. Kimsuky 그룹은 날짜를 기반으로 동적으로 C&C 서버를 구한 후 이를 보조 C&C 서버로써 사용하며 만약 주 C&C 서버가 통신이 되지 않을 경우 대신 DGA로 생성한 보조 C&C 서버를 사용해 통신한다.
3.3.2. RftRAT
공격에 사용된 오토잇 스크립트 중에는 Amadey 외에 RftRAT이 있다. 오토잇 실행 파일과 악성 오토잇 스크립트는 드로퍼 악성코드를 통해 생성되기도 하는데 다음 ASD 로그에서는 RftRAT을 설치하는 드로퍼 DLL “d015700.dll”의 실행 로그와 최종적으로 svchost.exe에 인젝션되어 동작하는 RftRAT이 정보 탈취 악성코드를 생성하는 로그를 확인할 수 있다. 참고로 동일한 시스템은 이후 Kimsuky 그룹의 다른 악성코드인 AppleSeed(AdobeService.dll)가 추가적으로 설치되기도 하였다.
이전 공격에 사용되었던 RftRAT은 DLL 포맷이며 VMP로 패킹되어 있어 정확한 비교에는 어려움이 있다. 하지만 사용하는 라이브러리 파일이 동일하다는 점이나 ICMLuaUtil를 이용해 UAC Bypass를 한다는 점 그리고 C&C 통신 및 명령 결과를 저장하는 데 사용되는 경로명이 거의 동일하다는 점 등의 정보들을 통해 과거 버전의 RftRAT으로 분류하였다.
컴파일된 오토잇 스크립트는 위의 Amadey 사례와 유사하지만 실질적인 기능은 svchost.exe를 실행하고 여기에 RftRAT을 인젝션하는 인젝터이다. 최종 페이로드인 RftRAT은 단독으로는 실행이 불가능하며 매핑된 “A1CCA2EC-C09F-D33C-4317-7F71F0E2A976_0″이라는 이름의 파일에서 데이터를 읽어와야 한다. 인젝터 기능을 담당하는 오토잇 스크립트는 여기에 오토잇 실행 파일과 스크립트의 경로를 각각 써준다.
이렇게 전달받은 오토잇 실행 파일과 스크립트의 경로는 이후 UAC Bypass 과정에서 사용된다. RftRAT은 CMSTPLUACOM 컴포넌트의 ICMLuaUtil 인터페이스를 이용해 UAC를 우회하고 자신을 관리자 권한으로 실행시킨다. 관리자 권한으로 실행된 RftRAT은 감염 시스템의 기본적인 정보를 수집한 이후 C&C 서버에 전송한다.
| Offset | 데이터 |
|---|---|
| 0x0000 | 시그니처 (0x963DA7EF) |
| 0x0004 | 감염 시스템의 ID |
| 0x0044 | IP 주소 |
| 0x014 | 컴퓨터 이름 |
이후 C&C 서버로부터 명령을 전달받는다. RftRAT은 전달받은 명령을 “%APPDATA%\asc\t1.pb” 경로에 쓰고 이후 이를 복호화 한다. 복호화 한 결과는 실제 명령인데 이를 동일한 파일에 쓰고 다시 읽어와 사용한다. 참고로 명령과 실행 결과 그리고 추가적으로 다운로드한 파일은 다음과 같은 경로에 생성된다.
| 경로 | 설명 |
|---|---|
| %APPDATA%\asc\t1.pb | C&C 서버로부터 다운로드한 명령 |
| %APPDATA%\asc\t2.ax | 명령 실행 결과 |
| %APPDATA%\asc\t3.br | 다운로드 명령을 통해 다운로드한 파일 |
| 명령 | 설명 |
|---|---|
| 0x00 | 파일 다운로드 |
| 0x01 | 파일 업로드 (zip 압축) |
| 0x02 | 드라이버 정보 조회 |
| 0x04 | 파일 이름 변경 |
| 0x05 | 디렉토리 생성 |
| 0x06 | 파일 삭제 |
| 0x07 | 파일 실행 (with UAC Bypass) |
| 0x08 | 프로세스 정보 조회 |
| 0x09 | 프로세스 종료 |
| 0x0A | 리버스 쉘 |
| 0x0B | 프로세스 종료 및 파일 삭제 |
| 0x12 | 종료 |
| 0x14 | 대기 |
4. 감염 이후
Kimsuky 그룹은 제어를 탈취한 이후에도 키로거, 웹 브라우저 계정 및 쿠키 정보 추출 도구 등 다양한 악성코드를 설치해 감염 시스템의 정보를 탈취한다. 이외에도 수 년 전부터 지속적으로 사용하고 있는 미미카츠, RDP Wrapper를 설치하기도 한다.
4.1. 키로거
키로거는 주로 “%ALLUSERSPROFILE%\startup\NsiService.exe” 경로에 설치된다. 시스템에 상주하면서 사용자의 키 입력을 모니터링해 “%ALLUSERSPROFILE%\semantec\av\C_1025.nls” 또는 “%ALLUSERSPROFILE%\Ahn\av\C_1025.nls” 경로에 저장한다. 참고로 “%ALLUSERSPROFILE%\semantec” 폴더는 이 악성코드 외에도 여기에서 다룬 다양한 악성코드들이 설치된 경로이기도 하다.
4.2. 인포스틸러
웹 브라우저 관련 정보 수집 악성코드는 “%ALLUSERSPROFILE%\semantec\” 경로에 “GBIA.exe”, “GBIC.exe”, “GBS.exe”, “GPIA.dll” 등의 이름으로 생성되었다. 대부분은 웹 브라우저에 저장된 계정 및 쿠키 정보를 대상으로 하지만 “Local Extension Settings” 경로의 파일들 즉 크롬 웹 브라우저의 확장 프로그램 관련 설정 정보를 대상으로 하는 유형도 있다.
이외에도 “GPIA.exe”라는 이름의 도구는 감염 시스템의 전체 경로를 모두 조회하여 각 폴더에 위치하는 파일들을 보여준다. 전체 파일들의 경로가 포함된 파일은 사이즈가 클 수밖에 없기 때문에 분할 압축하는 기능도 지원한다.
4.3. 기타 유형들
Kimsuky 그룹의 특징은 정보 탈취를 위해 RDP를 악용하는 경우가 많다는 점이다. 이에 따라 RDP Wrapper를 설치하거나 멀티 세션을 위한 패치 악성코드를 사용하기도 한다. 최근에는 사용자의 로그온 기록을 모니터링하는 악성코드도 확인되고 있는데 이는 사용자가 언제 로그온 하는지를 알아낸 이후 유휴 시간에 RDP를 접속하기 위한 것으로 추정된다.
“%ALLUSERSPROFILE%\semantec\” 경로에 설치되는 “taskhosts.exe”는 인젝터 악성코드로서 “ipcheck.dll”를 “explorer.exe”와 “runtimebroker.exe” 프로세스에 인젝션한다. “ipcheck.dll”은 “WinStationQueryInformationW()”, “ExitWindowsEx()” 함수를 후킹하는 방식으로 사용자의 로그온/로그오프를 모니터링하며 로그는 “%PUBLIC%\Log64.txt” 경로에 저장된다.
공격자는 이외에도 Proxy 악성코드를 사용하기도 했다. 과거에 사용되었던 프록시 도구는 커맨드 라인 인자를 전달받아 동작하였지만 이 유형은 “setting.ini” 설정 파일을 읽어와 사용한다. 기본 설정 주소에 RDP의 포트 번호인 3389가 설정되어 있는 것을 보아 사설 네트워크에 RDP 연결을 위한 목적으로 추정된다.
5. 결론
Kimsuky 위협 그룹은 국내 사용자들을 대상으로 지속적으로 스피어 피싱 공격을 수행하고 있다. 최근에는 국내 사용자를 대상으로 다양한 주제를 이용한 악성 LNK 파일의 유포되고 있어 사용자의 각별한 주의가 필요하다.
주로 메일의 첨부 파일이나 다운로드 링크를 통해 악성코드를 유포하는 방식이 사용되며 사용자가 이를 실행할 경우 현재 사용 중인 시스템에 대한 제어가 탈취될 수 있다. Kimsuky 그룹은 감염 시스템을 제어하고 정보를 탈취하기 위해 다양한 악성코드들을 새롭게 제작하여 사용하고 있으며 최근에는 보안 제품을 우회하기 위해 오토잇을 이용해 악성코드를 제작하고 있다.
사용자는 메일의 발신자를 상세하게 확인해야 하며 출처가 불분명한 파일의 경우 열람을 자제해야 한다. 그리고 OS 및 인터넷 브라우저 등의 프로그램들에 대한 최신 패치 및 V3를 최신 버전으로 업데이트하여 이러한 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.
파일 진단
– Downloader/Win.Amadey.R626032 (2023.11.30.00)
– Backdoor/Win.Agent.R626033 (2023.11.30.00)
– Downloader/Win.Amadey.C5462118 (2023.07.28.03)
– Trojan/AU3.Loader (2023.11.22.01)
– Dropper/Win.Agent.C5542993 (2023.11.17.02)
– Trojan/Win.Agent.C5430096 (2023.05.20.00)
– Infostealer/Win.Agent.R622445 (2023.11.17.02)
– Downloader/Win.Amadey.C5479015 (2023.08.31.01)
– Trojan/Win.Agent.C5485099 (2023.09.11.03)
– Trojan/Win.Agent.C5479017 (2023.08.31.01)
– Trojan/Win.Loader.C5479014 (2023.08.31.01)
– Trojan/Win.Agent.C5465186 (2023.11.30.00)
– Infostealer/Win.Agent.C5542999 (2023.11.17.02)
– Infostealer/Win.Agent.C5542997 (2023.11.17.02)
– Trojan/Win.Agent.C5451959 (2023.11.30.00)
– Trojan/Win.Agent.Prevention.C5446554 (2023.11.30.00)
– Trojan/Win.Agent.R589022 (2023.06.28.02)
– Trojan/Win.Loader.R588248 (2023.11.30.00)
– Trojan/Win.Agent.C5444839 (2023.11.30.00)
– Trojan/Win.Stealer.C5441397 (2023.11.30.00)
– Trojan/Win.KeyLogger.C5430090 (2023.05.20.00)
– Malware/Win.Generic.C5430065 (2023.11.30.00)
– Trojan/Win.Stealer.R579484 (2023.05.20.00)
– Trojan/Win.Loader.C5430091 (2023.05.20.00)
– Trojan/Win.KeyLogger.C5430092 (2023.05.20.00)
– Trojan/Win.Loader.C5430099 (2023.05.20.00)
– Trojan/Win.Proxy.C5430093 (2023.05.20.00)
– Trojan/Win.Agent.C5430095 (2023.05.20.00)
행위 진단
– Persistence/MDP.AutoIt.M4766
– Injection/MDP.Hollowing.M4767
IOC
MD5
– f5ea621f482f9ac127e8f7b784733514 : RftRAT Dropper – AutoIt (d009086.dll)
– 7b6471f4430c2d6907ce4d349f59e69f : Amadey – AutoIt Script (adal.au3)
– 14a7f83d6215a4d4c426ad371e0810a2 : RftRAT – AutoIt Script (run.au3)
– 74d5dac64c0740d3ff5a9e3aca51ccdf : RftRAT – AutoIt Script (chkdisc.au3)
– a7c9b4d70e4fad86598de37d7bf1fe96 : RftRAT – AutoIt Script (run.au3)
– 32696d9e1e72affaf8bc707ab271200d : Loader (ht.dll)
– 4b667f7ea5bdc9d872774f733fdf4d6a : Loader (ht.dll)
– 7f582f0c5c9a14c736927d4dbb47c5fa : Loader (ht.dll)
– 94aef716b23e8fa96808f1096724f77f : Loader (ht.dll)
– 0786984ab46482637c2d483ffbaf66dc : Loader (ht.dll)
– 1f63ce3677253636a273a88c5b26418d : Loader (ht.dll)
– 6f7cd8c0d9bfb0f97083e4431e4944c1 : Amadey Dropper (10.dll)
– 4fc726ab835ce559bada42e695b3d341 : Amadey Dropper (11.dll)
– 0fc1c99fd0d6f5488ab77e296216c7c6 : Amadey Dropper (10.dll)
– f9c4d236b893c0d72321a9210359f530 : Amadey (svc4615.dll)
– e22336eaf1980d2be5feed61b2dbc839 : Amadey (svc7014.dll)
– 862a855557cc274ab86e226e45338cff : Amadey (mtms2883.dll)
– 0f5762be09db44b2f0ccf05822c8531a : Amadey (ad53.dat)
– c87094e261860e3a1f70b0681e1bc8c5 : Amadey (ad54.dat)
– bac7f5eefe6a67e9555e93b0d950db59 : Amadey (d021999.dll)
– c5a1305aba22c8fedd6624753849905b : Amadey (mtms02.dat)
– 068d395c60e32f01b5424e2a8591ba73 : Amadey (adal66.dat)
– f3caa0f922600b4423ebcb16d7ea2dc6 : RftRAT Dropper (_e2.dll)
– 355817015c8510564c6ac89c976f2416 : RftRAT Dropper (_d2.dll)
– d541aa6bae0f8c9bd7e7b6193b52e8f2 : RftRAT Dropper (d010943.dll)
– 093608a2d6eb098eb7ea917cc22e9998 : RftRAT Dropper (30.dll)
– f76cde928a6eda27793ade673bcd6620 : RftRAT (msc1439.dll)
– aaa42b1209ed54bfcbd2493fe073d59b : RftRAT (mtms1929.dll)
– 1003a440c710ddf7faa1a54919dd01d8 : RftRAT (rtm8668.dll)
– b67e6e4c16e0309cfc2511414915df15 : RftRAT (cmms1106.dll)
– 4d4d485d3bfd3cbc97ed4b9a671f740f : RftRAT (cmms2366.dll)
– cf3440fa165e3f78d2a2252a6924f702 : RftRAT (mtms7794.dll)
– c55da826e50e2615903607e61968778f : RftRAT
– d070cf19b66da341f64c01f8195afaed : RftRAT (r2.dat)
– e665a985f71567f24a293ea430aad67d : RftRAT (r2.dat)
– c52410ed6787c39db87c4158e73089d4 : RftRAT (r1.dat)
– 1ac0b0da11e413a21bec08713e1e7c59 : RftRAT (40.dat)
– 39e755c08156123e4cabac6bf8d1fd3a : RftRAT (a2.dat)
– 187aa9b12c05cd1ff030044786903e7e : KeyLogger (NsiService.exe)
– b1337eb53b21594ac5dbd76138054ffb : KeyLogger (NsiService.exe)
– d820ddb3026a5960b2c6f39780480d28 : KeyLogger (NsiService.exe)
– 5c2809177bb95edc68f9a08a96420bb7 : Stealer – 웹 브라우저 (GBIA.exe)
– 0bf558adde774215bb221465a4edd2fe : Stealer – 웹 브라우저 (GBIA.exe)
– aa2cf925bae24c5cad2b1e1ad745b881 : Stealer – 웹 브라우저 (GPIA.dll)
– baa058003bf79ba82ac1b744ed8d58cb : Stealer – 크롬 확장 (GBS.exe)
– 38182f1f0a1cf598295cfbbabd9c5bf4 : Stealer – 파일 경로 (GPIA.exe)
– 272c29bf65680b1ac8ec7f518780ba92 : Stealer – 파일 경로 (GPIA.exe)
– e860dac57933f63be9a374fb78bca209 : Proxy (svc.exe)
– e96ca2aa7c6951802e4b17649cc5b581 : Injector (taskhosts.exe)
– 4eddf54757ae168450882176243d2bd2 : Injector (sihosts.exe)
– 119063c82373598d00d17734dd280016 : LogonMon (ipcheck.dll)
C&C
– hxxps://prohomepage[.]net/index.php :Amadey – AutoIt Script
– 45.76.93[.]204:56001 : RftRAT – AutoIt Script
– 91.202.5[.]80:52030 : RftRAT – AutoIt Script
– 192.236.154[.]125:50108 : RftRAT – AutoIt Script
– hxxp://brhosting[.]net/index.php : Amadey
– hxxps://topspace[.]org/index.php : Amadey
– hxxps://theservicellc[.]com/index.php : Amadey
– hxxps://splitbusiness[.]com/index.php : Amadey
– hxxps://techgolfs[.]com/index.php : Amadey
– 23.236.181[.]108:52390 : RftRAT
– 152.89.247[.]57:52390 : RftRAT
– 172.93.201[.]248:8083 : RftRAT
– 172.93.201[.]248:52390 : RftRAT
– 209.127.37[.]40:52390 : RftRAT
연관 IOC 및 관련 상세 분석 정보는 안랩의 차세대 위협 인텔리전스 플랫폼 ‘AhnLab TIP’ 구독 서비스를 통해 확인 가능하다.
Categories:악성코드 정보