ÆÄ¿ö½© ¸í·É µî·ÏÇØ ÁÖ±âÀûÀ¸·Î ¾Ç¼ºÄÚµå ¼³Ä¡...ÀÚ·á °øÀ¯ »çÀÌÆ® ÅëÇØ È°¹ßÈ÷ À¯Æ÷ Áß
[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ÃÖ±Ù Orcus RAT ¾Ç¼ºÄڵ尡 À¥Çϵ忡¼ ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼ÀÇ Å©·¢ ¹öÀüÀ¸·Î À¯Æ÷ ÁßÀÎ °ÍÀÌ È®ÀεƴÙ. ÀÌ ¾Ç¼ºÄڵ带 À¯Æ÷ÇÑ °ø°ÝÀÚ´Â °ú°Å À¥Çϵ忡¼ ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ Á¤Ç° ÀÎÁõ Åø·Î À§ÀåÇØ BitRAT°ú XMRig ÄÚÀÎ ¸¶À̳ʸ¦ À¯Æ÷Çß´ø °ø°ÝÀÚ¿Í µ¿ÀÏÇÏ´Ù.
°ø°ÝÀÚ°¡ À¯Æ÷ ÁßÀÎ ¾Ç¼ºÄÚµåµéÀº °ú°Å¿Í À¯»çÇÑ ÇüÅÂÀÌÁö¸¸, BitRAT ´ë½Å Orcus RATÀ» »ç¿ëÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù. ÀÌ¿Ü¿¡µµ ¾ÈƼ ¹ÙÀÌ·¯½ºÀÇ ÇàÀ§ ŽÁö¸¦ ¿ìȸÇϱâ À§ÇØ º¹ÀâÇÑ °úÁ¤À» °ÅÄ£´Ù°Å³ª, ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ ÆÄ¿ö½© ¸í·ÉÀ» µî·ÏÇØ ÁÖ±âÀûÀ¸·Î ÃֽŠ¾Ç¼ºÄÚµåµéÀ» ¼³Ä¡ÇÏ´Â µî °ú°Å¿Í ºñ±³ÇØ ÈξÀ Á¤±³ÇÑ ÇüÅ·ΠÁøȵƴÙ.
¡ãÀ¥Çϵ忡 ¾÷·ÎµåµÈ ¾Ç¼ºÄÚµå[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
À¥Çϵå´Â Å䷻Ʈ¿Í ÇÔ²² ±¹³» »ç¿ëÀÚ¸¦ ´ë»óÀ¸·Î ÇÏ´Â °ø°ÝÀÚµéÀÌ »ç¿ëÇÏ´Â ´ëÇ¥ÀûÀÎ ¾Ç¼ºÄÚµå À¯Æ÷ Ç÷§ÆûÀÌ´Ù. µî·ÏµÈ »ç¿ëÀÚµéÀº ¿µÈ³ª µå¶ó¸¶¿Í °°Àº ¹Ìµð¾î ÆÄÀϻӸ¸ ¾Æ´Ï¶ó °ÔÀÓ, À¯Æ¿¸®Æ¼¿Í °°Àº ÇÁ·Î±×·¥, ¼ºÀι°À» ¾÷·ÎµåÇϸç, ´Ù¸¥ »ç¿ëÀÚµéÀº ÀÏÁ¤ÇÑ ±Ý¾×À» ÁöºÒÇÏ°í ¾÷·ÎµåµÈ ÆÄÀϵéÀ» ³»·Á¹ÞÀ» ¼ö ÀÖ´Ù. ¾È·¦ ASEC ºÐ¼®ÆÀ¿¡¼´Â À¥Çϵ带 ÅëÇØ À¯Æ÷µÇ´Â ¾Ç¼ºÄÚµåµéÀ» ¸ð´ÏÅ͸µÇÏ°í ÀÖÀ¸¸ç, °ú°Å ´Ù¼öÀÇ ºí·Î±×¿¡¼ °ü·Ã Á¤º¸¸¦ °øÀ¯Çß´Ù.
À¥¿¡¼ ±¸Çϱ⠽¬¿î ¾Ç¼ºÄÚµåµéÀ» ÀÌ¿ëÇØ ´Ù¾çÇÑ °ø°ÝÀڵ鿡 ÀÇÇØ ¹«ÀÛÀ§ÇÏ°Ô À¯Æ÷µÇ°í ÀÖ´Â ¾Ç¼ºÄÚµåµé°ú ´Þ¸®, BitRAT°ú XMRig ÄÚÀÎ ¸¶À̳ʸ¦ À¯Æ÷ÇÏ´ø °ø°ÝÀÚ´Â Á÷Á¢ ¾Ç¼ºÄڵ带 °³¹ßÇÏ°í ¾È·¦ÀÇ V3 Á¦Ç°À» ¿ìȸÇÏ·Á°í ½ÃµµÇÏ´Â µî ±¹³» »ç¿ëÀÚµéÀ» ´ë»óÀ¸·Î Áö¼ÓÀûÀ¸·Î °ø°ÝÀ» ÁøÇàÇÏ°í ÀÖ´Ù. Âü°í·Î BitRATÀÇ °æ¿ì ¾ÆÁ÷ Å©·¢ ¹öÀüÀÌ È®ÀεÇÁö ¾Ê°í Àִµ¥, ÀÌ´Â °ø°ÝÀÚ°¡ ¾Ç¼ºÄڵ带 Á÷Á¢ °³¹ßÇϱ⵵ ÇÏÁö¸¸ ÃֽŠ¾Ç¼ºÄÚµåÀÇ °æ¿ì¿¡´Â ±¸¸ÅÇϱ⵵ ÇÏ´Â °ÍÀ¸·Î º¸ÀδÙ.
Orcus RATÀº 2016³â °æºÎÅÍ ÆǸŵǰí ÀÖ´Â RAT(Remote Access Trojan) ¾Ç¼ºÄÚµå´Ù. À̸¦ °³¹ßÇÑ Orcus Technologies »ç´Â ¿ø°Ý Á¦¾î µµ±¸(Remote Administration Tool)·Î ¼Ò°³Çϸç ÆǸÅÇßÁö¸¸, ¿ø°Ý Á¦¾î ±â´É ¿Ü¿¡µµ ¡âÅ°·Î±ë ¡âÀ¥Ä· ¡â°èÁ¤ Á¤º¸ ¼öÁý ¡â¸í·É ½ÇÇà µî°ú °°Àº ´Ù¾çÇÑ ¾Ç¼º ±â´ÉµéÀÌ Æ÷ÇԵƴÙ. Áö³ 2019³â¿¡´Â ij³ª´Ù ´ç±¹ÀÌ °³¹ß»ç¸¦ ±Þ½ÀÇϱ⵵ ÇÑ °ÍÀ¸·Î ¾Ë·ÁÁ³´Ù.
¿©Å¸ ´Ù¸¥ RAT ¾Ç¼ºÄÚµåµé°ú °°ÀÌ Orcus RAT ¶ÇÇÑ Å©·¢ ¹öÀüÀÌ Á¸ÀçÇϱ⠶§¹®¿¡ ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ À̸¦ ¾Ç¿ëÇØ °ø°Ý¿¡ »ç¿ëÇÏ°í ÀÖ´Ù. °ø°ÝÀÚ°¡ ¾Ç¼ºÄÚµå ¼³Ä¡¸¦ À¯µµÇÏ´Â ÃÖÃÊ À¯Æ÷ ¹æ½ÄºÎÅÍ ÃÖÁ¾ÀûÀ¸·Î Orcus RAT, ±×¸®°í XMRig ÄÚÀÎ ¸¶À̳ʸ¦ ¼³Ä¡ÇÏ´Â °úÁ¤À» °ÅÄ£´Ù.
¸ÕÀú À¯Æ÷ ¹æ½ÄÀ» º¸¸é, Orcus RAT°ú XMRig ÄÚÀÎ ¸¶À̳ʸ¦ ¼³Ä¡ÇÏ´Â ¾Ç¼ºÄÚµå´Â ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼ 2022 ¹öÀüÀÇ Å©·¢À¸·Î À§ÀåÇØ ÇöÀç ´Ù¼öÀÇ À¥Çϵ忡 ¾÷·ÎµåµÅ ÀÖ´Ù. ÇÑ±Û ¿öµå ÇÁ·Î¼¼¼´Â ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® ¿ÀÇǽºÀÇ ¿öµå(Word)¿Í °°Àº ±¹³» ´ëÇ¥ÀûÀÎ ¹®¼ ÀÛ¼º ÇÁ·Î±×·¥ÀÌ´Ù.
´Ù¿î·ÎµåÇÑ ¾ÐÃà ÆÄÀÏÀÇ ¾ÐÃàÀ» ÇØÁ¦ÇÏ¸é ¡®install¡¯À̶ó´Â Æú´õ¿Í ¡®install.exe¡¯¶ó´Â ÇÁ·Î±×·¥À» È®ÀÎÇÒ ¼ö ÀÖ´Ù. ¾Ç¼ºÄÚµå´Â ¡®install.exe¡¯ ÆÄÀÏÀ̸ç, À̸¦ ½ÇÇàÇÏ¸é ³µ¶ÈµÈ ÆÄ¿ö½© ¸í·ÉÀ» ½ÇÇàÇÏ°í ¡®install¡¯ Æú´õ¿¡ Á¸ÀçÇÏ´Â ½ÇÁ¦ ÀνºÅç·¯ ÇÁ·Î±×·¥À» ½ÇÇàÇÑ´Ù.
¡ã¾ÐÃà ÇØÁ¦ ÀÌÈÄ È®ÀεǴ ¾Ç¼ºÄÚµå(install.exe)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÀνºÅç·¯ ´Ü°è¿¡ µé¾î¼¸é, ÀϹÝÀûÀÎ ¾ÐÃà ÇÁ·Î±×·¥µéó·³ ¡®7z¡¯µµ SFX Æ÷¸ËÀ» Á¦°øÇϴµ¥ À̸¦ »ç¿ëÇØ ¾ÐÃàÇÏ¸é ¡®.zip¡¯À̳ª ¡®.z¡¯¿Í °°Àº ¾ÐÃà ÆÄÀÏ ´ë½Å ¡®.exe¡¯¶ó´Â ½ÇÇà ÆÄÀÏÀÌ »ý¼ºµÈ´Ù. ½ÇÇàÇÏ´Â °Í¸¸À¸·Îµµ Á¦ÀÛÀÚ°¡ ¿øÇÏ´Â °æ·Î¿¡ ÇÁ·Î±×·¥µéÀ» ¼³Ä¡ °¡´ÉÇÑ Á¡ µî ÆíÇÏ°Ô »ç¿ëÇÒ ¼ö Àֱ⠶§¹®¿¡ ÁÖ·Î ¼³Ä¡ ÇÁ·Î±×·¥¿¡¼ »ç¿ëµÈ´Ù. Âü°í·Î 7z SFX´Â ´Ü¼øÇÏ°Ô ³»ºÎ¿¡ Æ÷ÇÔÇÏ°í ÀÖ´Â ÆÄÀϵéÀ» ¼³Ä¡ÇÏ´Â ±â´É»Ó¸¸ ¾Æ´Ï¶ó Ãß°¡ÀûÀÎ ±â´ÉÀ» Á¦°øÇϴµ¥, À̸¦ ÀÌ¿ëÇÏ¸é ¼³Ä¡°úÁ¤¿¡¼ ƯÁ¤ ¸í·ÉÀ» ½ÇÇàÇÒ ¼ö ÀÖ´Ù.
¡®install.exe¡¯, Áï 7z SFXÀÇ ¼³Ä¡ ½ºÅ©¸³Æ®À̸ç, ½ÇÁ¦ ÀνºÅç·¯ ÇÁ·Î±×·¥À» ½ÇÇàÇÏ´Â ±â´É ¿Ü¿¡µµ ÀÎÄÚµùµÈ ÆÄ¿ö½© ¸í·ÉÀÌ Æ÷ÇԵƴÙ. ¾Ç¼ºÄÚµå´Â ¿øº» ÆÄ¿ö½© ÇÁ·Î±×·¥À» ¡®VC_redist.x86.exe¡¯¶ó´Â Á¤»ó ÇÁ·Î±×·¥ À̸§À¸·Î ÇöÀç ¼³Ä¡ °æ·Î¿¡ º¹»çÇÑ ÈÄ À̸¦ ÀÌ¿ëÇØ ÀÎÄÚµùµÈ ÆÄ¿ö½© ¸í·ÉÀ» ½ÇÇàÇÑ´Ù. Á÷Á¢ ÆÄ¿ö½©À» ½ÇÇàÇÏ´Â ´ë½Å ÀÌ·¯ÇÑ ÇàÀ§¸¦ ÇÏ´Â °ÍÀº ¾ÈƼ¹ÙÀÌ·¯½ºÀÇ ÇàÀ§ ŽÁö¸¦ ¿ìȸÇϱâ À§ÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
¡ã7z SFX ½ÇÇà ¾ÐÃà ÆÄÀÏÀÇ ¼³Ä¡ ½ºÅ©¸³Æ® ¹× º¹È£ÈµÈ ÆÄ¿ö½© ¸í·É(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
ÀÎÄÚµùµÈ ÆÄ¿ö½© ¸í·ÉÀ» º¹È£ÈÇÑ ÈÄ, ¸ÕÀú À©µµ µðÆæ´õ ¾ÈƼ ¹ÙÀÌ·¯½º¿¡ ÀÇÇØ Å½ÁöµÇ´Â °ÍÀ» ¿ìȸÇϱâ À§ÇØ ¡®Add-MpPreference¡¯ ¸í·ÉÀ¸·Î ƯÁ¤ ÇÁ·Î¼¼½º À̸§°ú °æ·Î¸¦ ¿¹¿Ü °æ·Î¿¡ µî·ÏÇÑ´Ù. ÀÌ´Â ÀϹÝÀûÀ¸·Î ÀÚÁÖ »ç¿ëµÇ´Â ¹æ½ÄÀÌÁö¸¸, °ø°ÝÀÚ´Â ÀÌ¿Ü¿¡µµ À©µµ µðÆæ´õ¿¡¼ ŽÁöµÈ À§Çùµé¿¡ ´ëÇؼµµ Çã¿ë½ÃÅ°´Â °úÁ¤ÀÌ Á¸ÀçÇÑ´Ù.
±×¸®°í ±¸±Û µ¶½º¿¡ ¾÷·ÎµåµÈ ÆÄÀϵéÀ» ´Ù¿î·ÎµåÇϴµ¥, °ø°ÝÀÚ´Â Á÷Á¢ ¾Ç¼ºÄڵ带 ´Ù¿î·ÎµåÇØ ¼³Ä¡ÇÏ´Â ´ë½Å, 7z Áï ¡®7z.exe¡¯, ¡®7z.dll¡¯¸¦ ¸ÕÀú ¼³Ä¡ÇÏ°í ÀÌÈÄ ¾ÐÃà ÆÄÀÏÀ» ´Ù¿î·ÎµåÇÑ ÈÄ ºñ¹Ð¹øÈ£ ¡®x¡¯¸¦ ÁÖ°í ¾ÐÃà ÇØÁ¦ÇØ ½ÇÇàÇÏ´Â ¹æ½ÄÀ¸·Î ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÑ´Ù. ÀÌ ¶ÇÇÑ ¾ÈƼ ¹ÙÀÌ·¯½ºÀÇ ÇàÀ§ ŽÁö¸¦ ¿ìȸÇϱâ À§ÇÑ ¸ñÀûÀ¸·Î º¸ÀδÙ. ÃÖÃÊ ¼³Ä¡µÈ ¾Ç¼ºÄÚµå´Â ´Ù¿î·Î´õÀε¥, Á¶°Ç¿¡ µû¶ó ´Ù¸¥ À¯ÇüÀÇ ¾Ç¼ºÄڵ带 ¼³Ä¡ÇÑ´Ù.
¡ã¾Ç¼ºÄÚµå °¨¿° È帧µµÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ[]
ÃÖÃÊ·Î ¼³Ä¡µÇ´Â ´Ù¿î·Î´õ ¾Ç¼ºÄÚµå´Â ¡®asdmon¡¯ ÇÁ·Î¼¼½ºÀÇ ½ÇÇà ¿©ºÎ ¹× °¡»ó¸Ó½Å ȯ°æÀ» °Ë»çÇØ ºÐ¼® ȯ°æÀ¸·Î ÆÇ´ÜµÉ °æ¿ì¿¡´Â Á¾·áÇÑ´Ù. ±× ÀÌÈÄ ¾ÈƼ¹ÙÀÌ·¯½º°¡ ÇöÀç ¼³Ä¡µÆ´ÂÁö¸¦ °Ë»çÇϴµ¥, °Ë»ç ´ë»óÀ¸·Î´Â AhnLab V3(¡®v3l4sp¡¯, ¡®V3UI¡¯, ¡®v3csp¡¯)¿Í ³×À̹ö ¹é½Å(¡®Nsavsvc.npc¡¯) µîÀÌ ÀÖ´Ù.
±× ÀÌÈÄ ¼³Ä¡ °úÁ¤À» ÁøÇàÇϱâ ÀÌÀü¿¡ °¨¿° ½Ã½ºÅÛÀÇ »ç¿ëÀÚ À̸§, IP ÁÖ¼Ò µîÀÇ ±âº»ÀûÀÎ Á¤º¸¸¦ ¼öÁýÇÑ ÈÄ Telegram API¸¦ ÀÌ¿ëÇØ Àü¼ÛÇÑ´Ù.
¡ã´Ù¿î·Î´õ ¾Ç¼ºÄÚµåÀÇ Main ÇÔ¼ö ¹× Telegram API¸¦ ÀÌ¿ëÇØ ¼öÁýÇÑ Á¤º¸¸¦ Àü¼Û(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¿©±â±îÁöÀÇ °úÁ¤ÀÌ ³¡³ª¸é À̹ø¿¡´Â ÆÄ¿ö½© ½ÇÇà ÆÄÀÏÀ» ¡®C:\ProgramData\KB5019959.exe¡¯ °æ·Î¿¡ º¹»çÇÏ°í »ç¿ëÇÑ´Ù. V3 ¼³Ä¡ ¿©ºÎ¿¡ µû¶ó ½ÇÇàµÇ´Â ÆÄ¿ö½© ¸í·ÉÀº ´ëºÎºÐ À¯»çÇÏÁö¸¸, V3°¡ ¼³Ä¡µÅ ÀÖÀ» °æ¿ì¿¡´Â ÃÖÁ¾ÀûÀ¸·Î XMRig ÄÚÀÎ ¸¶À̳ʰ¡, ±×·¸Áö ¾ÊÀ» °æ¿ì¿¡´Â µÎ ¹ø° ´Ù¿î·Î´õ ¾Ç¼ºÄڵ尡 ¼³Ä¡µÈ´Ù´Â Á¡ÀÌ ´Ù¸£´Ù.
¼³Ä¡µÇ´Â ÆÄÀϵé Áß 7z´Â À§¿Í µ¿ÀÏÇÏ¸ç ¡®GoogleUpdate.exe¡¯ ÆÄÀÏÀº NirSoft »çÀÇ NirCmd¶ó´Â ÅøÀÌ´Ù. NirCmd´Â ´Ù¾çÇÑ ±â´ÉµéÀ» Á¦°øÇØ ÁÖ´Â Ä¿¸Çµå ¶óÀÎ µµ±¸·Î¼ °£´ÜÇÑ ¸í·É¸¸À¸·Î ½ºÅ©¸°¼¦ ĸó, ÈÞÁöÅë ºñ¿ì±â, ÀåÄ¡ Á¦¾î¿Í °°Àº ÇàÀ§¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù.
¡ã°ø°ÝÀÚ°¡ ¼³Ä¡ÇÏ´Â NirCmd ¹× ÆÄ¿ö½© ¸í·ÉÀ» ½ÇÇàÇÏ´Â ÀÛ¾÷ ½ºÄÉÁÙ·¯ ÆÄÀÏ(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
°ø°ÝÀÚ´Â °¨¿° ½Ã½ºÅÛ¿¡¼ ¾ÈƼ ¹ÙÀÌ·¯½ºÀÇ ÇàÀ§ Áø´ÜÀ» ¿ìȸÇϱâ À§ÇØ NirCmd¸¦ ¼³Ä¡ÇÏ´Â °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ½ÇÁ¦ ÀÛ¾÷ ½ºÄÉÁÙ·¯¿¡ µî·ÏÇÏ´Â ÆÄ¿ö½© ¸í·É ¶ÇÇÑ NirCmd¿Í º¹»çµÈ ÆÄ¿ö½© ½ÇÇà ÆÄÀÏ·Î ½ÇÇàÇÑ´Ù. ±¸±Û µ¶½º¿¡¼ ´Ù¿î·ÎµåÇØ µî·ÏÇÏ´Â ÀÛ¾÷ ½ºÄÉÁÙ·¯ ÆÄÀÏÀ» º¸¸é ¡®GoogleUpdate.exe¡¯, Áï NirCmd¸¦ ÀÌ¿ëÇØ ¡®KB5019959.exe¡¯ Áï ÆÄ¿ö½© ¸í·ÉÀ» ½ÇÇàÇÑ´Ù. µî·ÏµÇ´Â ÀÛ¾÷Àº À§¿¡¼ ´Ù·é ¸í·Éµé°ú À¯»çÇÏ°Ô ÀÎÄÚµùµÈ ÆÄ¿ö½© ¸í·Éµé·Î¼ XMRig ¶Ç´Â Ãß°¡ÀûÀÎ ´Ù¿î·Î´õ¸¦ ¼³Ä¡ÇÏ´Â ±â´ÉÀ» ´ã´çÇÑ´Ù.
XMRig ÄÚÀÎ ¸¶À̳ʴ ¡®software_reporter_tool.exe¡¯¶ó´Â À̸§À¸·Î ¼³Ä¡µÈ ¾Ç¼ºÄÚµå´Ù. Á¤»ó ÇÁ·Î±×·¥ÀÎ explorer.exe¸¦ ½ÇÇàÇÏ°í XMRig ÄÚÀÎ ¸¶À̳ʸ¦ ÀÎÁ§¼ÇÇϱ⠶§¹®¿¡ ½ÇÁ¦ ¸¶ÀÌ´× ÇàÀ§´Â Ž»ö±â ÇÁ·Î¼¼½º¿¡¼ µ¿ÀÛÇÑ´Ù. Âü°í·Î ÀÎÁ§¼Ç ´ë»óÀΠŽ»ö±â¸¦ ´ÙÀ½°ú °°Àº ¾ÏÈ£ÈµÈ ¹®ÀÚ¿À» ÀÎÀÚ·Î ÁÖ°í ½ÇÇàÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¡ãÀÎÄÚµùµÈ ¹®ÀÚ¿À» ÀÎÀÚ·Î ¹Þ´Â XMRig ÄÚÀÎ ¸¶À̳Ê[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
°ø°ÝÀÚ°¡ Á¦ÀÛÇÑ °ÍÀ¸·Î ÃßÁ¤µÇ´Â XMRig´Â Ãʱ⠷çƾ¿¡¼ ÀÎÀÚ·Î Àü´Þ¹ÞÀº ¹®ÀÚ¿µéÀ» º¹È£ÈÇÑ´Ù. °¢ ¿É¼ÇÀ» »ìÆ캸¸é ¸¶ÀÌ´× Ç® ÁÖ¼Ò¿Í »ç¿ëÀÚ ID ¹× ºñ¹Ð¹øÈ£¸¦ Æ÷ÇÔÇØ ´Ù¾çÇÑ ¼³Á¤µéÀÌ Á¸ÀçÇÑ´Ù. ¸ÕÀú ¡®-cinit-stealth-targets¡¯ ¿É¼ÇÀ¸·Î ¡âÀÛ¾÷ °ü¸®ÀÚ ¡âÇÁ·Î¼¼½º ÇØÄ¿ ¡âÇÁ·Î¼¼½º ÀͽºÇ÷η¯ µî°ú °°Àº °ü¸® µµ±¸µéÀ» ÁöÁ¤ÇÏ°í, »ç¿ëÀÚ°¡ À̸¦ ½ÇÇàÇÒ °æ¿ì ¸¶ÀÌ´×À» Áß´ÜÇØ CPU Á¡À¯À²ÀÌ »ó½ÂÇÑ °ÍÀ» È®ÀÎÇϱ⠾î·Æ°Ô ÇÑ´Ù. ÀÌ¿Ü¿¡µµ ´Ù¼öÀÇ °ÔÀÓ ÇÁ·Î±×·¥µéÀÌ Æ÷ÇԵƴµ¥, °ÔÀÓÀ» Ç÷¹ÀÌÇÒ ¶§´Â ¸¶ÀÌ´×ÀÌ µ¿ÀÛÇÏÁö ¾Êµµ·Ï ¼³Á¤ÇØ »ç¿ëÀÚµéÀÌ ´«Ä¡Ã¤±â ¾î·Æ°Ô ¼³Á¤ÇÑ °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¡®-cinit-kill-targets¡¯ ¿É¼Ç¿¡´Â ¾È·¦ V3 Á¦Ç°ÀÇ ÀνºÅç·¯¸¦ ÁöÁ¤ÇØ »ç¿ëÀÚ°¡ V3¸¦ ¼³Ä¡ÇÒ °æ¿ì °Á¦ Á¾·á½ÃÅ´¿¡ µû¶ó ¾Ç¼ºÄÚµå Ä¡·á¸¦ ¹æÇØÇÑ´Ù. ÀÌ¿Ü¿¡µµ ±×¸®µå À¯ÇüÀÇ PUP ÇÁ·Î±×·¥µéµµ °Á¦ Á¾·á ´ë»óÀÌ µÇ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
°ú°Å °ø°ÝÀÚ´Â V3°¡ ¼³Ä¡µÈ ȯ°æ¿¡¼´Â XMRig¸¦, ±×·¸Áö ¾ÊÀº ȯ°æ¿¡¼´Â BitRATÀ» ¼³Ä¡Çß´Ù. ÇÏÁö¸¸ ÃÖ±Ù¿¡´Â BitRAT ´ë½Å Orcus RATÀ» ¼³Ä¡ÇÏ°í ÀÖ´Â °ÍÀÌ È®ÀεƴÙ. ÀÌ¿Í ÇÔ²² Ãß°¡·Î´Â Telegram ¶Ç´Â Visual Studio°¡ ¼³Ä¡µÈ ȯ°æ¿¡¼¸¸ Orcus RATÀ» ¼³Ä¡ÇÑ´Ù´Â Á¶°Çµµ ¸¸Á·ÇØ¾ß ÇÑ´Ù.
¡ã¼³Ä¡µÈ Orcus RATÀÇ ¼³Á¤ µ¥ÀÌÅÍ ¹× Orcus RATÀÇ °ü¸® µµ±¸(ÁºÎÅÍ)[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
Orcus RATÀº ´Ù¸¥ RAT ¾Ç¼ºÄÚµåµéó·³ °¨¿° ½Ã½ºÅÛÀ» Á¦¾îÇÒ ¼ö ÀÖ´Â ´Ù¾çÇÑ ±â´ÉµéÀ» Á¦°øÇÑ´Ù. Orcus RATÀº ´Ù¸¥ °£´ÜÇÑ ÇüÅÂÀÇ RAT ¾Ç¼ºÄÚµåµé°ú Â÷ÀÌÁ¡ÀÌ ÀÖ´Ù. ÀϹÝÀûÀÎ RAT ¾Ç¼ºÄÚµåµéÀº À§¿Í °°Àº ºô´õ¿Í °ü¸® ÇÁ·Î±×·¥ÀÌ C&C ¼¹ö·Î µ¿ÀÛÇÏÁö¸¸, Orcus RATÀº À§¿Í °°Àº °ü¸® µµ±¸¿¡ Á÷Á¢ Á¢¼ÓÇÏ´Â ´ë½Å Orcus ¼¹ö¿¡ Á¢¼ÓÇÑ´Ù. Áï, °ø°ÝÀÚ°¡ °¨¿° ½Ã½ºÅÛµéÀ» Á¦¾îÇϴµ¥ »ç¿ëÇÏ´Â °ü¸® µµ±¸¿Í C&C ¼¹ö·Î µ¿ÀÛÇÏ´Â Orcus ¼¹ö°¡ ³ª´² ÀÖ´Ù.
ÀÌ´Â ÄÚ¹ßÆ® ½ºÆ®¶óÀÌÅ©ÀÇ ÆÀ¼¹ö(TeamServer) ±¸Á¶¿Í À¯»çÇÏ´Ù. Orcus RATÀº Orcus ¼¹ö¿Í Åë½ÅÇϸç, °ø°ÝÀÚ°¡ »ç¿ëÇÏ´Â Orcus °ü¸® µµ±¸µµ Orcus ¼¹ö¿¡ ¿¬°áÇØ À̸¦ °ÅÃÄ Orcus ¼¹ö¿Í ¿¬°áµÈ Orcus RATµéÀ» Á¦¾îÇÏ´Â ¹æ½ÄÀÌ´Ù.
¡ãOrcus RATÀÇ Server[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡ãOrcus RATÀÌ Á¦°øÇÏ´Â ±âº»ÀûÀÎ ½Ã½ºÅÛ Á¦¾î ±â´Éµé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
Orcus RAT ¾Ç¼ºÄÚµå´Â °¨¿°µÈ ½Ã½ºÅÛÀ» ƯÁ¤ÇØ ¡®Log in¡¯ÇÒ °æ¿ì ½Ã½ºÅÛ Á¤º¸ ¼öÁý, ÆÄÀÏ¡¤·¹Áö½ºÆ®¸®¡¤ÇÁ·Î¼¼½º ÀÛ¾÷, ¸í·É ½ÇÇà°ú °°Àº ±âº»ÀûÀÎ Á¦¾î ±â´ÉµéÀ» »ç¿ëÇÒ ¼ö ÀÖ´Ù. Orcus RATÀº ÀÌ¿Ü¿¡µµ ¡â¿ø°Ý µ¥½ºÅ©Åé ¡âÅ°·Î±ë ¡âÀ¥Ä· Á¦¾î ¡âRDP Á¦¾î ±â´ÉÀ» Áö¿øÇÑ´Ù. RDP(Remote Desktop Protocol) Á¦¾î ±â´ÉÀº RDP Wrapper¸¦ ¼³Ä¡ÇÏ°í ¡®OrcusRDP¡¯¶ó´Â À̸§ÀÇ °èÁ¤À» »ý¼ºÇÏ´Â ¹æ½ÄÀ̸ç, ÀÌÈÄ °ø°ÝÀÚ´Â ÇØ´ç °èÁ¤À» ÀÌ¿ëÇØ ¿ø°ÝÀ¸·Î Á¢¼ÓÇÒ ¼ö ÀÖ´Ù. Orcus RATÀº ±âº»ÀûÀ¸·Î C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ TLS ÇÁ·ÎÅäÄÝÀ» ÀÌ¿ëÇϱ⠶§¹®¿¡ ÆÐŶÀº ¾ÏȣȵŠÀÖ´Ù.
´ëºÎºÐÀÇ ¾Ç¼ºÄÚµå´Â ±¹³» ÀÚ·á °øÀ¯ »çÀÌÆ®¸¦ ÅëÇØ È°¹ßÇÏ°Ô À¯Æ÷µÇ°í ÀÖ¾î »ç¿ëÀÚÀÇ ÁÖÀÇ°¡ ÇÊ¿äÇÏ´Ù. ÀÚ·á °øÀ¯ »çÀÌÆ®¿¡¼ ³»·Á¹ÞÀº ½ÇÇà ÆÄÀÏÀº ¼³Ä¡¿¡ ƯÈ÷ ÁÖÀÇÇØ¾ß Çϸç, À¯Æ¿¸®Æ¼¿Í °ÔÀÓ µîÀÇ ÇÁ·Î±×·¥Àº ¹Ýµå½Ã °ø½Ä ȨÆäÀÌÁö¿¡¼ ´Ù¿î·ÎµåÇØ¾ß ÇÑ´Ù. »ç¿ëÀÚµéÀº OS ¹× ÀÎÅÍ³Ý ºê¶ó¿ìÀú µîÀÇ ÇÁ·Î±×·¥µé¿¡ ´ëÇÑ ÃֽŠÆÐÄ¡ ¹× V3¸¦ ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ÀÌ·¯ÇÑ ¾Ç¼ºÄÚµåÀÇ °¨¿°À» »çÀü¿¡ Â÷´ÜÇÒ ¼ö ÀÖµµ·Ï ½Å°æ ½á¾ß ÇÑ´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>