Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)
Contents
Kimsuky 그룹에서 사용하는 VNC 악성코드 (TinyNuke, TightVNC)
ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다.
VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다.
Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치하여 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는 먼저 TinyNuke 악성코드가 있다.
1. TinyNuke (HVNC)
Nuclear Bot이라고도 알려진 TinyNuke는 2016년부터 확인된 뱅킹 악성코드로서 HVNC (HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능들을 포함한다. TinyNuke는 2017년경 소스 코드가 공개됨에 따라 다양한 공격자들에 의해 사용되고 있으며, 그 중에서 HVNC, Rverse SOCKS4 Proxy 기능은 AveMaria, BitRAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.
유포되고 있는 TinyNuke는 기존의 다양한 기능들 중에서 HVNC 기능만 활성화되어 있다. 참고로 일반적인 …
ASEC 분석팀에서는 최근 Kimsuky 관련 악성코드를 모니터링 하던 중 AppleSeed 원격제어 악성코드에 의해 VNC 악성코드들이 설치되는 정황을 포착했다.
VNC는 가상 네트워크 컴퓨팅(Virtual Network Computing)이라고 불리는 기술로서 원격으로 다른 컴퓨터를 제어하는 화면 제어 시스템이다. 일반적으로 자주 사용되는 RDP와 유사하게 원격으로 다른 시스템에 접속하여 제어하기 위한 목적으로 사용된다.
Kimsuky 그룹은 최초 침투 과정을 거쳐 공격 대상 시스템에 AppleSeed 백도어를 설치하는데, 여기에 그치지 않고 AppleSeed를 통해 추가적으로 VNC 악성코드를 설치하여 공격 대상 시스템을 그래픽 환경으로 제어할 수 있게 한다. 설치되는 VNC 악성코드들 중에는 먼저 TinyNuke 악성코드가 있다.
1. TinyNuke (HVNC)
Nuclear Bot이라고도 알려진 TinyNuke는 2016년부터 확인된 뱅킹 악성코드로서 HVNC (HiddenDesktop/VNC), Reverse SOCKS4 프록시, 웹 브라우저 폼 그래빙과 같은 기능들을 포함한다. TinyNuke는 2017년경 소스 코드가 공개됨에 따라 다양한 공격자들에 의해 사용되고 있으며, 그 중에서 HVNC, Rverse SOCKS4 Proxy 기능은 AveMaria, BitRAT과 같은 다른 악성코드들에 의해 부분적으로 차용되는 방식으로 사용되고 있다.
유포되고 있는 TinyNuke는 기존의 다양한 기능들 중에서 HVNC 기능만 활성화되어 있다. 참고로 일반적인 …