AhnLab EDR을 활용한 최신 RMM 유포 사례 탐지

AhnLab SEcurity intelligence Center(ASEC)은 최근 RMM(Remote Monitoring and Management) 도구들을 악용한 공격 사례가 늘어나고 있는 것을 확인하였다. 과거에는 최초 침투 이후 제어를 탈취하기 위한 공격 과정에서 원격 제어 도구들을 악용해 왔다면 최근에는 최초 유포 단계에서도 RMM 도구를 활용할 정도로 다양한 공격 사례들에서 악용되는 중이다. 여기에서는 최근 확인된 RMM 악용 사례들과 AhnLab EDR을 이용한 탐지 방식을 다룬다.

 

1. EDR을 이용한 위협 모니터링

RMM 도구는 설치된 시스템에 대한 원격 제어가 가능하고 정상적인 목적으로 조직에서 사용하기도 하는 도구이다. 즉 시스템에 대한 원격 제어가 가능하기 때문에 공격자들은 백도어나 RAT 악성코드들처럼 감염 시스템에 대한 제어를 탈취하는 목적으로 악용하고 있다. 참고로 RMM 도구를 사용하면 보안 제품들의 탐지를 우회할 수 있다는 장점도 있는데 AntiVirus 같은 보안 제품에서는 일반적인 악성코드들과 달리 이러한 도구들을 단순하게 탐지하고 차단하는 데 한계가 존재하기 때문이다. 이에 따라 EDR을 활용해 의심스러운 행위를 모니터링하고 대응할 필요가 있다.

AhnLab EDR (Endpoint Detection and Response)은 국내 유일의 행위 기반 분석 엔진을 기반으로 엔드포인트 영역에 대해 강력한 위협 모니터링과 분석, 대응 역량을 제공하는 차세대 엔드포인트 위협 탐지 및 대응 솔루션이다. AhnLab EDR은 의심스러운 행위에 관한 유형별 정보를 상시 수집해 탐지 및 분석, 대응 관점에서 사용자가 위협을 정확하게 인식할 수 있는 기능을 제공하며 이를 통해 종합적인 분석을 통해 원인 파악과 적절한 대응, 재발 방지 프로세스를 수립할 수 있다.

 

2. 정상 소프트웨어 위장 악성코드 사례

ASEC 블로그 “LogMeIn과 PDQ Connect를 악용한 악성코드 유포 사례”[1]에서는 LogMeIn과 PDQ Connect 도구를 악용한 사례를 다루었다. LogMeIn은 정상 프로그램을 위장하여 유포되었는데 Notepad++, 7-zip뿐만 아니라 텔레그램, ChatCPT, OpenAI 등을 위장하였다.

사용자는 정상 소프트웨어를 위장한 광고 페이지를 통해 다음과 같은 악성코드 다운로드 페이지에서 LogMeIn Resolve 설치하였을 것으로 보인다. 해당 웹 사이트들은 각각 Notepad++, 7-zip 등 무료 유틸리티 홈페이지의 다운로드 페이지를 위장하고 있지만 실제로는 공격자의 LogMeIn Resolve가 다운로드된다.

Figure 1. 위장 유틸리티 다운로드 페이지

 

LogMeIn Resolve는 원격 지원 및 패치 관리, 모니터링과 같은 기능을 지원하는 RMM 도구이다. 사용자가 LogMeIn을 설치하면 LogMeIn의 인프라에 등록되어 공격자에 의해 제어를 탈취당할 수 있다. 공격자는 LogMeIn을 악용해 파워쉘 명령을 실행해 백도어 악성코드인 PatoRAT을 설치하였다.

참고로 PatoRAT은 LogMeIn Resolve뿐만 아니라 PDQ Connect에 의해 설치되기도 하였다. PDQ Connect도 LogMeIn Resolve와 유사하게 소프트웨어 패키지 배포, 패치 관리, 인벤토리, 원격 제어와 같은 기능들을 제공하는 RMM 도구이다. 공격자는 PDQ Connect를 설치하도록 유도한 후 LogMeIn Resolve와 동일하게 PDQ Connect를 악용해 PatoRAT을 설치하였다.

Figure 2. PDQ Connect를 이용한 악성코드 설치 로그

AhnLab EDR에서는 시스템에 LogMeIn과 PDQ Connect가 실행되는 행위에 대해 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 3. AhnLab EDR을 활용한 LogMeIn 실행 행위 탐지

Figure 4. AhnLab EDR을 활용한 PDQ Connect 실행 행위 탐지

 

3. 정상 문서를 위장한 피싱 공격 사례

ASEC 블로그 “동영상 파일을 위장해 유포 중인 RMM 도구들 (Syncro, SuperOps, NinjaOne 등)”[2]에서는 피싱 메일을 통해 다양한 원격 제어 도구들을 유포한 사례들을 다루었다. 공격에 사용된 PDF 문서 파일들이 다음과 같이 “Invoce”, “Product Order”, “Payment”와 같은 키워드를 포함한 이름을 가지고 있으며 실행 시 다음과 같이 높은 화질로 인해 미리 보기가 불가능하고 대신 구글 드라이브 링크를 클릭하도록 유도한다.

Figure 5. Figure 2. 공격에 사용된 PDF 악성코드

이러한 공격을 통해 유포된 악성코드는 Syncro라는 이름의 RMM 도구이다. Syncro RMM은 Managed Service Provider(MSP) 및 IT 팀을 위한 원격 모니터링 및 관리 도구로서 Chaos [3], Royal [4] 같은 랜섬웨어 공격자들뿐만 아니라 이란의 APT 위협 그룹인 MuddyWater가 [5] 사용한 사례도 알려져 있다.

Figure 6. Syncro사의 홈페이지

동일한 인증서로 서명된 악성코드들을 보면 이외에도 다양한 RMM 도구들이 2025년 10월부터 악용되고 있다. ScreenConnect는 원격 접속과 화면 제어 기능을 제공하는 RMM/원격 지원 솔루션으로 장애 대응, 유지 보수 등을 수행할 수 있다. ScreenConnect 또한 다양한 공격자들에 의해 악용되고 있는데 예를 들면 랜섬웨어 공격자들인 ALPHV/BlackCat [6], Hive [7] 등이 있다.

Figure 7. 악성코드 서명에 사용된 인증서

이외에도 NinjaOne과 SuperOps도 존재한다. NinjaOne은 기업의 IT 인프라를 원격으로 모니터링 및 관리하기 위한 클라우드 기반 RMM 솔루션이다. 원격 접속, 패치 및 소프트웨어 배포, 성능 모니터링, IT 자산 관리 등의 기능을 지원한다. SuperOps도 MSP(관리형 서비스 제공 업체)를 대상으로 한 클라우드 기반 RMM/PSA 통합 솔루션으로, 원격 접속, 자산·패치 관리, 모니터링 등의 기능을 지원한다.

AhnLab EDR에서는 피싱 공격 사례에서 확인된 RMM 도구들 즉 Syncro, ScreenConnect, NinjaOne, SuperOps가 실행되는 행위에 대해 위협으로 탐지하여 관리자가 이를 사전에 인지할 수 있도록 도와준다.

Figure 8. AhnLab EDR을 활용한 Syncro 실행 행위 탐지

Figure 9. AhnLab EDR을 활용한 ScreenConnect 실행 행위 탐지

Figure 10. AhnLab EDR을 활용한 NinjaOne 실행 행위 탐지

Figure 11. AhnLab EDR을 활용한 SuperOps 실행 행위 탐지

 

4. 결론

사용자들은 유틸리티 다운로드 시 공식 홈페이지 확인해야 하며 다운로드된 파일의 버전 정보나 인증서를 검사해 의도한 설치 파일이 맞는지 확인할 수 있다. 출처가 불분명한 이메일을 열람할 때에도 각별한 주의가 요구된다. 이메일의 발신자가 신뢰할 수 있는지 확인하고, 의심스러운 링크나 첨부 파일을 열지 않는 것이 중요하다. 또한 운영체제 및 보안 제품을 최신 버전으로 업데이트하여 알려진 위협으로부터 보호해야 한다. 

 

[행위 진단]

• Execution/EDR.LogMeIn.M12839
• Execution/EDR.PDQConnect.M12920
• Execution/EDR.Syncro.M13384
• Execution/EDR.ScreenConnect.M11766
• Execution/EDR.Ninja.M13400
• Execution/EDR.SuperOps.M13399