KimjongRAT 변종: 정보 탈취에서 원격 접근 확보로의 확장
Contents
<분석 개요>
작년 5월 발간한 '세금 고지서로 위장한 악성코드'의 변종이 확인되었다. 해당 악성코드는 KimjongRAT으로 최신 변종은 기존 정보 탈취 기능을 유지하면서 Telegram 및 Discord 등 수집 대상을 확장하였으며, 최종 단계에서 MeshCentral 기반 에이전트를 설치하여 원격 접근 권한을 확보하는 것으로 확인되었다.
기존과 마찬가지로 방화벽 활성화 상태에 따라 PE 또는 스크립트를 실행하나, 작년과 비교하여 수집하는 정보가 늘어났으며 기능상으로만 존재하던 함수를 사용하는 것과 RMM 도구를 악용하는 것이 확인되었다. 해당 악성코드는 공격자의 지속적인 기능의 개선과 업데이트로 고도화가 이루어지고 있으며, 정보 탈취와 시스템 접근 권한 확보를 목적으로 기능을 확장하고 있는 것을 알 수 있다.
본 보고서에서는 스크립트형 악성코드를 다루며 이전 악성코드와 비교하여 기능적으로 추가된 부분을 중심으로 작성하였다.
[공격 도식도]
작년 5월 발간한 '세금 고지서로 위장한 악성코드'의 변종이 확인되었다. 해당 악성코드는 KimjongRAT으로 최신 변종은 기존 정보 탈취 기능을 유지하면서 Telegram 및 Discord 등 수집 대상을 확장하였으며, 최종 단계에서 MeshCentral 기반 에이전트를 설치하여 원격 접근 권한을 확보하는 것으로 확인되었다.
기존과 마찬가지로 방화벽 활성화 상태에 따라 PE 또는 스크립트를 실행하나, 작년과 비교하여 수집하는 정보가 늘어났으며 기능상으로만 존재하던 함수를 사용하는 것과 RMM 도구를 악용하는 것이 확인되었다. 해당 악성코드는 공격자의 지속적인 기능의 개선과 업데이트로 고도화가 이루어지고 있으며, 정보 탈취와 시스템 접근 권한 확보를 목적으로 기능을 확장하고 있는 것을 알 수 있다.
본 보고서에서는 스크립트형 악성코드를 다루며 이전 악성코드와 비교하여 기능적으로 추가된 부분을 중심으로 작성하였다.
[공격 도식도]