Kimsuky 그룹의 xRAT(Quasar RAT) 유포 정황
Contents
2022년 1월 26일 ASEC 분석팀은 Kimsuky 공격 그룹에서 xRAT (Quasar RAT 기반의 오픈소스 RAT) 악성코드를 사용하는 정황을 포착하였다.
- xRAT Github 주소 : https://github.com/tidusjar/xRAT
자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.
- 기존 Gold Dragon이 사용하는 인젝션 기법이 동일 (iexplore.exe, svchost.exe 등에 프로세스 할로잉 하는 행위)
- 자사 제품 실시간 탐지 윈도우 클래스 종료 기능 (49B46336-BA4D-4905-9824-D282F05F6576)
- 다음 클리너(daumcleaner.exe) 프로세스 종료
공격자는 Gold Dragon을 설치할 때 전용 인스톨러(installer_sk5621.com.co.exe)를 통해 설치하였다. 인스톨러는 공격자 서버에서 GZip 형식으로 압축된 Gold Dragon을 다운받아 %temp% 경로에 “in[랜덤4자리].tmp”로 압축해제 한 뒤 rundll32.exe를 통해 실행하는 기능을 지닌다.
설치된 Gold Dragon은 총 4개의 익스포트(Export) 함수를 갖고있다.
- Perform
- Process
- Start
- Work
인스톨러가 Gold Dragon을 최초 실행할 때 “Start” 인자를 전달하여 실행한다. “Start” 익스포트 함수가 실행되면 Gold Dragon은 자기 자신을 특정 경로에 복사한 뒤 자동 실행 레지스트리 키에 복사된 DLL을 등록한다. 이때 DLL 실행 인자는 “Perform” 익스포트 함수가 …
- xRAT Github 주소 : https://github.com/tidusjar/xRAT
자사 ASD(AhnLab Smart Defense) 인프라에 확보된 로그에 따르면 공격자는 Gold Dragon의 변종을 1월 24일 최초 감염 PC에 설치하였다. 확보된 파일이 Gold Dragon의 변종이라고 추정하는 근거는 다음과 같다.
- 기존 Gold Dragon이 사용하는 인젝션 기법이 동일 (iexplore.exe, svchost.exe 등에 프로세스 할로잉 하는 행위)
- 자사 제품 실시간 탐지 윈도우 클래스 종료 기능 (49B46336-BA4D-4905-9824-D282F05F6576)
- 다음 클리너(daumcleaner.exe) 프로세스 종료
공격자는 Gold Dragon을 설치할 때 전용 인스톨러(installer_sk5621.com.co.exe)를 통해 설치하였다. 인스톨러는 공격자 서버에서 GZip 형식으로 압축된 Gold Dragon을 다운받아 %temp% 경로에 “in[랜덤4자리].tmp”로 압축해제 한 뒤 rundll32.exe를 통해 실행하는 기능을 지닌다.
설치된 Gold Dragon은 총 4개의 익스포트(Export) 함수를 갖고있다.
- Perform
- Process
- Start
- Work
인스톨러가 Gold Dragon을 최초 실행할 때 “Start” 인자를 전달하여 실행한다. “Start” 익스포트 함수가 실행되면 Gold Dragon은 자기 자신을 특정 경로에 복사한 뒤 자동 실행 레지스트리 키에 복사된 DLL을 등록한다. 이때 DLL 실행 인자는 “Perform” 익스포트 함수가 …
IoC
070f0390aad17883cc8fad2dc8bc81ba
40b428899db353bb0ea244d95b5b82d9
45.77.71.50
4ea6cee3ecd9bbd2faf3af73059736df
b841d27fb7fee74142be38cee917eda5
http://45.77.71.50:8082
https://sk5621.com.co
40b428899db353bb0ea244d95b5b82d9
45.77.71.50
4ea6cee3ecd9bbd2faf3af73059736df
b841d27fb7fee74142be38cee917eda5
http://45.77.71.50:8082
https://sk5621.com.co