2022-02-09 Wed

Created: February 9, 2022 3:27 PM

1. Kimsuki 그룹 custom Gold Dragon 악성코드와 상용 RAT 사용

Reference: https://www.bleepingcomputer.com/news/security/kimsuki-hackers-use-commodity-rats-with-custom-gold-dragon-malware/

김수키 그룹에서 Gold Dragon을 통해 상용 오픈소스 원격 접속 툴을 드롭하는 새로운 활동을 발견했다.

상용 RAT는 xRAT(https://github.com/tidusjar/xRAT)로 무료로 제공되는 오픈소스 원격 접속 및 관리 도구이다. 키로깅, 원격쉘, 파일 관리자 작업, reverse https 프록시, aes-128 통신 및 자동화 된 사회공학 같은 다양한 기능을 제공한다.

Gold Dragon은 스테가노그래피를 활용한 file-less 파워쉘 기반 1단계 공격 이후 김수키에서 일반적으로 사용하는 2단계 백도어이다. 이미 2020년에 공개가 된 악성코드지만, 해당 활동에서는 기본 시스템 정보의 유출과 같은 추가 기능이 확인되었다.

악성코드에서는 추가된 기능을 위해 시스템 프로세스를 사용하지 않고, xRAT 도구를 설치하여 필요한 정보를 수동으로 훔쳐간다. RAT는 cp1093.exe 이름의 실행파일로 위장하여 PowerShell 프로세스(powershell_ise.exe)를 C:\ProgramData\ 경로에 복사하고 Process Hollowing 기법을 통해 실행한다.

Gold Dragon은 전용 설치프로그램(installer_sk5621.com.co.exe)를 통해 설치되었으며, 설치 프로그램은 공격지 서버에서 gzip 형태로 압축된 악성코드를 받아서 %temp% rudfhdp in[랜덤 숫자 4개].tmp 로 압축을 풀고 rundll32.exe 를 통해 실행된다. 다음 설치 프로그램은 악성코드 페이로드인 glu32.dll 에 대한 지속성 확보를 위해 레지스트리 키를 추가하며, 흔적 삭제를 위한 제거 프로그램인 Uninstall_kr5829.co.in.exe 를 드롭한다.

김수키에서는 주로 이메일을 통해 악성 코드를 배포하므로 출처를 알 수 없는 이메일 첨부 파일을 열지 말아야한다.

+) Process Hollowing: 정상 프로세스를 생성하여 원본 프로세스의 데이터를 악성 PE 데이터로 변경하는 코드 인젝션 기법.