국내 공공기관의 설치 파일을 위장한 악성코드 (Kimsuky 그룹)

AhnLab SEcurity intelligence Center(ASEC)에서는 최근 Kimsuky 그룹이 악성코드를 국내 공공기관의 인스톨러로 위장하여 유포한 사실을 확인하였다. 해당 악성코드는 드로퍼(Dropper)로서 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” [1] 게시글에서 다룬 공격에서 사용된 백도어 악성코드인 Endoor를 생성한다.

비록 드로퍼 악성코드가 실제 공격에 사용된 이력은 확인되지 않지만 해당 드로퍼가 생성하는 백도어 악성코드의 공격 사례는 드로퍼 악성코드의 수집일과 유사한 시점에 확인되었다. 공격자는 백도어를 이용해 추가 악성코드를 다운로드하거나 스크린샷을 탈취하는 악성코드를 설치하기도 하였다. Endoor는 이외에도 지속적으로 공격에 사용되고 있는데 과거부터 스피어피싱 공격으로 유포되는 Nikidoor와 함께 사용되었다.

1. 국내 공공기관의 설치 파일로 위장한 드로퍼(Dropper)

드로퍼 악성코드는 국내 특정 공공기관의 설치 파일로 위장하였다. 아이콘을 해당 공공기관의 로고로 사용하였으며 버전 정보나 설치 페이지에서도 관련 키워드를 확인할 수 있다. 참고로 동일한 버전 정보를 갖는 정상 프로그램은 확인되지 않는 것으로 보아 기존 프로그램을 위장한 것이 아니라 단순하게 정상 프로그램으로 보이도록 제작한 것일 수도 있다. 또한 실제 설치 과정에서도 악성코드를 제외하면 정상적으로 설치된 프로그램은 존재하지 않는다.

드로퍼는 버전 정보를 위장한 것뿐만 아니라 국내 업체의 유효한 인증서로 서명된 것이 특징이다. 드로퍼가 실행되면 내부에 가지고 있던 “src.rar”라고 하는 압축 파일과 “unrar.exe”라는 이름으로 WinRAR 도구를 생성한다. 이후 WinRAR를 이용해 비밀번호 “1q2w3e4r”을 주고 압축을 해제하여 백도어를 생성하고 실행한다.

2. Endoor 백도어

드로퍼는 인자로 “install”을 주고 백도어를 실행하며 해당 인자로 실행된 백도어는 자신을 “%USERPROFILE%\svchost.exe” 경로에 복사하고 “Windows Backup”이라는 이름으로 작업 스케줄러에 등록한다. 작업 스케줄러는 “backup” 인자로 백도어를 실행하게 되며 백도어는 이후 C&C 서버에 접속하여 명령을 전달받을 수 있다.

백도어는 Go 언어로 개발되었으며 난독화되어 있지만 이전 사례에서 확인된 유형과 동일하다. 과거 “보안 프로그램 설치 과정에서 감염되는 TrollAgent (Kimsuky 그룹)” 게시글에서 TrollAgent와 동일한 인증서로 서명되어 유포되었으며 다음과 같은 키워드를 포함하고 있어 여기에서는 Endoor로 분류한다.

Endoor는 감염 시스템의 기본적인 정보를 전송하고 명령 실행, 파일 업로드 및 다운로드, 프로세스 작업, Socks5 프록시 등의 기능을 지원하는 백도어 악성코드이다. 과거 중국 QiAnXin 사의 Threat Intelligence Center에서 해당 악성코드를 따로 분류하지는 않았지만 상세한 분석 정보를 공개한 바 있다. [2]

3. 공격 사례 #1

비록 위에서 다룬 드로퍼를 통해 설치되었는지 또는 다른 경로로 설치되었는지는 확인되지 않지만 Endoor가 공격에 사용된 이력이 ASD 인프라에서 확인되었다. 다음 로그는 Kimsuky 그룹이 Endoor를 다른 바이너리로 업데이트하는 것으로 추정되는 로그이다. 외부에서 Curl을 이용해 “rdpclip.dat”이라는 이름으로 다운로드하였으며 파일은 확인되지 않았지만 실행 시 “install” 인자를 사용했다는 점과 파일 크기를 보면 Endoor의 다른 버전으로 추정된다.

공격자는 이외에도 “%ALLUSERSPROFILE%\cache.exe” 경로에 미미카츠를 설치하고 사용하였으며 다음과 같이 “sekurlsa::logonpasswords” 인자가 실행 로그에서 확인되었다.

설치한 악성코드들 중에는 감염 시스템의 스크린샷을 캡쳐하여 탈취하는 악성코드도 존재한다. 악성코드는 Kbinani의 스크린샷 라이브러리를 이용해 제작하였으며 [3] 공격자는 스크린샷 캡쳐뿐만 아니라 이를 유출하는 기능도 구현하였다. 탈취 주소는 로컬 호스트 즉 “hxxp://127.0.0.1:8080/recv”인데 이는 공격자가 이미 감염 시스템에 프록시를 설치하였고 이를 이용해 외부로 탈취하는 것으로 보인다.

4. 공격 사례 #2 (Nikidoor)

최근 확인되고 있는 Endoor는 Ngrok의 무료 도메인 주소인 “ngrok-free[.]app”을 C&C 서버로 사용하고 있는 것이 특징이다. 2024년 2월에 확인된 위의 사례 이후 2024년 3월에 추가적으로 확인된 Endoor도 동일하게 “install”, “backup” 인자를 사용하며 “ngrok-free[.]app”을 C&C 서버로 사용하였다.

참고로 위 주소는 Nikidoor를 유포하는데 사용되기도 했으며 C&C 서버 주소도 공유하고 있다. Nikidoor는 “수입 신고서를 위장하여 국내 연구 기관을 노리는 Kimsuky” [4] 게시글에서 언급한 Kimsuky 그룹의 백도어 악성코드로서 AppleSeed, Endoor 등 다른 악성코드들처럼 감염 시스템의 정보를 탈취하고 명령을 전달받아 악성 행위를 수행할 수 있다. PDB 경로 문자열에 “Niki”라는 문자열이 지속적으로 사용되고 있는 것이 특징이다.

• PDB 경로 : C:\Users\niki\Downloads\Troy\Dll.._Bin\Dll.pdb

5. 결론

최근 Kimsuky 그룹이 국내 업체의 유효한 인증서를 이용해 악성코드를 서명하여 유포하는 사례가 지속적으로 확인되고 있다. 공격자는 최종적으로 백도어 악성코드를 설치하며 이를 이용해 감염 시스템에 존재하는 사용자 정보들을 탈취할 수 있다.

사용자는 V3를 최신 버전으로 업데이트하여 악성코드의 감염을 사전에 차단할 수 있도록 신경 써야 한다.

파일 진단
– Dropper/Win.Endoor.C5593202 (2024.02.25.01)
– Backdoor/Win.Endoor.C5593201 (2024.02.25.01)
– Backdoor/Win.KimGoBack.C5385331 (2024.02.20.03)
– Backdoor/Win.Endoor.C5598434 (2024.03.09.00)
– Backdoor/Win.Nikidoor.C5598774 (2024.03.10.00)

행위 진단
– Execution/MDP.Event.M18

MD5

7034268d1c52539ea0cd48fd33ae43c4

7beaf468765b2f1f346d43115c894d4b

b74efd8470206a20175d723c14c2e872

b8ffb0b5bc3c66b7f1b0ec5cc4aadafc

f03618281092b02589bca833f674e8a0

URL

http[:]//210[.]16[.]120[.]210/rdpclip[.]dat

http[:]//minish[.]wiki[.]gd/c[.]pdf

http[:]//minish[.]wiki[.]gd/eng[.]db

http[:]//minish[.]wiki[.]gd/index[.]php

http[:]//minish[.]wiki[.]gd/upload[.]php