[º¸¾È´º½º ±è¿µ¸í ±âÀÚ] ºí·ç¼Ð(BlueShell)Àº °í(Go) ¾ð¾î·Î °³¹ßµÈ ¹éµµ¾î ¾Ç¼ºÄÚµå·Î¼ ±êÇãºê¿¡ °ø°³µÆÀ¸¸ç, ¸¶ÀÌÅ©·Î¼ÒÇÁÆ® À©µµ(Windows), ¸®´ª½º(Linux), ¾ÖÇà ¸Æ(Mac) ¿î¿µÃ¼Á¦¸¦ Áö¿øÇÑ´Ù. ÇöÀç ¿øº» ±êÇãºê ÀúÀå¼Ò´Â »èÁ¦µÈ °ÍÀ¸·Î ÃßÁ¤µÇÁö¸¸, ´Ù¸¥ ÀúÀå¼Ò¿¡¼´Â ºí·ç¼ÐÀÇ ¼Ò½ºÄڵ带 È®º¸ÇÒ ¼ö ÀÖ´Ù. ReadMe ÆÄÀÏÀ» ¿¸é Áß±¹¾î·Î ¼³¸íÀÌ ´ã°Ü Á¦ÀÛÀÚ°¡ Áß±¹¾î »ç¿ëÀÚÀÏ °¡´É¼ºÀÌ ³ô´Ù´Â ºÐ¼®ÀÌ´Ù.
¡ã±êÇãºê¿¡ °ø°³µÅ ÀÖ´Â BlueShell[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ(ÀÌÇÏ ASEC)¿¡ µû¸£¸é, ºí·ç¼ÐÀÌ °ø°Ý¿¡ »ç¿ëµÈ °ÍÀ¸·Î ¾Ë·ÁÁø »ç·Ê´Â ´Ù¸¥ ¾Ç¼ºÄÚµåµé°ú ´Þ¸® ¸¹Áö ¾Ê´Ù. ÇÏÁö¸¸ ½ÇÁ¦ ±¹³» °ø°Ý »ç·ÊµéÀ» È®ÀÎÇÏ¸é ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ ºí·ç¼ÐÀ» ²ÙÁØÈ÷ »ç¿ëÇÏ°í ÀÖ´Â °ÍÀÌ ´«¿¡ ¶è´Ù. ¾È·¦ ASEC ºÐ¼®ÆÀÀÌ È®ÀÎÇÑ °ø°Ý »ç·Ê´Â ±¹³» ±â¾÷ÀÇ À©µµ ½Ã½ºÅÛÀ» ´ë»óÀ¸·Î ÇÑ »ç·ÊµéÀÌ´Ù. ÇÏÁö¸¸ ¸®´ª½º ½Ã½ºÅÛÀ» ´ë»óÀ¸·Î ÇÑ °ø°Ý Áß¿¡´Â ±¹³» ¹× ű¹ ¹æ¼Û»ç¸¦ ´ë»óÀ¸·Î ÃßÁ¤µÇ´Â »ç·Êµµ È®ÀεȴÙ.
ºí·ç¼ÐÀÇ ´ëÇ¥ÀûÀΠƯ¡ °¡¿îµ¥ Çϳª´Â °í ¾ð¾î·Î Á¦À۵ƴٴ Á¡ÀÌ´Ù. °í ¾ð¾î´Â °³¹ß ³µµ°¡ ³·°í, Å©·Î½º Ç÷§ÆûÀ» Áö¿øÇÏ´Â µî ÀåÁ¡ÀÌ ¸¹¾Æ ¾Ç¼ºÄÚµå Á¦ÀÛ¿¡ ¸¹ÀÌ »ç¿ëµÇ°í ÀÖ´Ù. ºÏÇÑ ±è¼öÅ°(Kimsuky) ÇØÅ·Á¶Á÷Àº ¹ÌÅÍÇÁ¸®ÅÍ(Meterpreter) ´Ù¿î·Î´õ ¾Ç¼ºÄڵ带, ·¹µå¾ÆÀÌÁî(RedEyes, APT37) À§Çù±×·ìÀº ½Ç½Ã°£ ¸Þ½Ã¡ ¼ºñ½ºÀÎ ¿¡ÀÌºí¸®(Ably) ¼ºñ½º¸¦ ¾Ç¿ëÇÏ´Â ¹éµµ¾î¸¦, ¾È´Ù¸®¿¤(Andariel) À§Çù±×·ì¿¡¼´Â 1th Troy ¸®¹ö½º ¼Ð, Black RAT µî ¾Ç¼ºÄÚµåµéÀ» °¢°¢ °í ¾ð¾î·Î °³¹ßÇß´Ù.
±â´É»óÀ¸·Î º¸¸é ´Ü¼øÇÑ ÇüÅÂÀÇ ¹éµµ¾îÀÎ ºí·ç¼ÐÀº C&C ¼¹ö¿ÍÀÇ Åë½Å¿¡ TLS ¾Ïȣȸ¦ Áö¿øÇØ ³×Æ®¿öÅ© ŽÁö¸¦ ¿ìȸÇÑ´Ù. °ø°ÝÀÚ ¸í·ÉÀ¸·Î ¼öÇàÇÒ ¼ö ÀÖ´Â ±â´Éµé·Î´Â ¿ø°Ý ¸í·É ½ÇÇà, ÆÄÀÏ ¾÷·Îµå ¹× ´Ù¿î·Îµå, Socks5 ÇÁ·Ï½Ã µîÀÌ ÀÖ´Ù.
¡ã°ø°Ý¿¡ »ç¿ëµÈ JSP À¥¼Ðµé[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¸ÕÀú, ¡®À©µµ(Windows) ¹öÀü¡¯¿¡¼´Â ´Þºø À§Çù ±×·ì °ø°Ý »ç·Ê°¡ ÀÖ´Ù. ´Þºø ±×·ìÀº Áß±¹ ±â¹Ý À§Çù ±×·ìÀ¸·Î¼ ÁÖ·Î Ãë¾àÇÑ ¼¹öµéÀ» ´ë»óÀ¸·Î °ø°Ý, ±â¾÷ ³»ºÎ ÀÚ·á µî Á¤º¸¸¦ Å»ÃëÇϰųª ½Ã½ºÅÛÀ» ¾ÏÈ£ÈÇØ ±ÝÀüÀ» ¿ä±¸ÇÑ´Ù. °ø°Ý ´ë»óÀº ºÎÀûÀýÇÏ°Ô °ü¸®µÇ°Å³ª ÃֽŠ¹öÀüÀ¸·Î ÆÐÄ¡µÇÁö ¾ÊÀº À©µµ À¥ ¼¹ö, ¸ÞÀÏ ¼¹ö³ª MS-SQL µ¥ÀÌÅͺ£À̽º ¼¹ö µîÀÌ È®ÀεȴÙ. ´Þºø ±×·ìÀº Ãʱâ ħÅõ ´Ü°èºÎÅÍ ¸ñÀûÀ» ´Þ¼ºÇÒ ¶§±îÁö ¸ðµÎ °ø°³µÈ µµ±¸µéÀ» °ø°Ý¿¡ »ç¿ëÇÑ´Ù.
°ø°ÝÀÚ°¡ À̹ø °ø°Ý¿¡¼ ºí·ç¼ÐÀ» »ç¿ëÇß´ÂÁö´Â È®ÀεÇÁö ¾ÊÁö¸¸, °ø°Ý °úÁ¤¿¡¼ ¿øº» ¼Ò½ºÄÚµåÀÇ ±âº» C&C ¼¹ö ÁÖ¼Ò·Î ¼³Á¤µÈ ºí·ç¼Ð ¾Ç¼ºÄڵ尡 ¼öÁýµÆ´Ù. ¼öÁýµÈ ÆÄÀÏÀº x86, x64 ¾ÆÅ°ÅØóÀ̸ç, ÇØ´ç ÆÄÀϵéÀÌ °ø°Ý µµ±¸¸ðÀ½¿¡ Æ÷ÇÔµÆÀ» °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. ´Þºø °ø°Ý ±×·ìÀº À¥ ¼¹ö ´ë»ó °ø°Ý¿¡¼ ÁÖ·Î À¥·ÎÁ÷(WebLogic) Ãë¾àÁ¡À̳ª ÆÄÀÏ ¾÷·Îµå Ãë¾àÁ¡À» °ø°ÝÇØ À¥¼ÐÀ» ¾÷·ÎµåÇÏ´Â ¹æ½ÄÀ» »ç¿ëÇÑ´Ù. ´Þºø ±×·ìÀº ÇÁ·Ï½Ã µµ±¸·Î FRP(Fast Reverse Proxy)¸¦ »ç¿ëÇÏ´Â °ÍÀÌ °¡Àå Å« Ư¡ÀÌ´Ù. °ø°Ý °úÁ¤¿¡¼´Â Frpc(Fast Reverse Proxy Client) µµ±¸¿Í ¼³Á¤ ÆÄÀÏ, ¶Ç ´Ù¸¥ ÇÁ·Ï½Ã µµ±¸ÀÎ VenomÀÌ »ç¿ëµÆ´Ù.
µÎ ¹ø°·Î, ±¹³» ±â¾÷ °ø°Ý»ç·Ê¸¦ º¸¸é, ÃÖÃÊ À¯ÀÔ °æ·Î³ª ´Þºø ±×·ì°ú µ¿ÀÏÇÑ °ø°ÝÀÚÀÎÁö´Â È®ÀÎÀº ¾È µÇÁö¸¸ ºí·ç¼Ð°ú Frpc°¡ °ø°Ý¿¡ ÇÔ²² »ç¿ëµÈ Á¡ÀÌ Æ¯Â¡ÀÌ´Ù. °ø°Ý °úÁ¤¿¡¼´Â 2°³ÀÇ ºí·ç¼ÐÀÌ È®Àεƴµ¥ ¸ðµÎ °°Àº C&C ¼¹ö¿Í Åë½ÅÇÏÁö¸¸ Çϳª´Â ³µ¶ÈµÆ´Ù. °ø°Ý¿¡ »ç¿ëµÈ Frpcµµ ³µ¶ÈµÆÀ¸¸ç, °ø°ÝÀÚ°¡ Á÷Á¢ Ä¿½ºÅ͸¶ÀÌ¡ÇÑ ÇüÅ´Ù. °ø°Ý¿¡ »ç¿ëµÈ Frpc´Â ¾ÏÈ£ÈµÈ ¼³Á¤ µ¥ÀÌÅ͸¦ ½ÇÇà Áß ¸Þ¸ð¸® »ó¿¡ º¹È£ÈÇØ »ç¿ëÇÑ´Ù.
¡ã¹ÙÀ̳ʸ®¿¡ Æ÷ÇԵŠÀÖ´Â Frpc ¼³Á¤ µ¥ÀÌÅÍ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®¸®´ª½º(Linux) ¹öÀü¡¯¿¡¼ ±¹³»¿Í ű¹ ´ë»ó ÃßÁ¤ °ø°Ý »ç·Ê¸¦ º¸¸é, ºí·ç¼ÐÀº Å©·Î½º Ç÷§ÆûÀ» Áö¿øÇϸç À©µµ¿Í ¸®´ª½º ȯ°æ ¾îµð¿¡¼³ª µ¿ÀÛÇÒ ¼ö ÀÖ´Ù. ÇØ´ç ¾Ç¼ºÄÚµåµéÀÌ ´ëÇѹα¹°ú ű¹¿¡¼ ¹ÙÀÌ·¯½ºÅäÅ»¿¡ ¾÷·ÎµåµÆ´ø °ÍÀ» º¸¸é µÎ °÷ÀÌ °ø°Ý ´ë»óÀ̾ú´ø °ÍÀ¸·Î ÃßÁ¤µÈ´Ù.
°ø°ÝÀÚ´Â ¸ÕÀú µå·ÎÆÛ(Dropper) ¾Ç¼ºÄڵ带 Á¦ÀÛÇÏ°í, ºí·ç¼ÐÀ» ¼³Ä¡Çß´Ù. µå·ÎÆÛ´Â ÀϹÝÀûÀÎ µå·ÎÆÛó·³ ºí·ç¼ÐÀ» »ý¼ºÇÏ°í ½ÇÇàÇÏÁö¸¸, ½ÇÇà ½Ã ¡®lgdt¡¯¶ó´Â À̸§ÀÇ È¯°æ º¯¼ö¸¦ ¼³Á¤ÇÏ°í ½ÇÇàÇÏ´Â Á¡ÀÌ ´Ù¸£´Ù. »ý¼ºµÈ ºí·ç¼ÐÀº lgdt ȯ°æ º¯¼ö¸¦ ±¸ÇØ º¹È£ÈÇÑ ÈÄ, C&C ¼¹ö ÁÖ¼Ò·Î »ç¿ëÇÑ´Ù. µû¶ó¼ ºí·ç¼Ð ´Üµ¶À¸·Î´Â C&C ¼¹öÀÇ ÁÖ¼Ò¸¦ È®ÀÎÇÒ ¼ö ¾ø´Ù. ºí·ç¼Ð ¾Ç¼ºÄڵ带 ½ÇÇàÇÑ ÀÌÈÄ¿¡´Â »èÁ¦ÇØ ºí·ç¼ÐÀº ¸Þ¸ð¸® »ó¿¡¼¸¸ µ¿ÀÛÇÑ´Ù. µå·ÎÆÛ´Â ÀÌ¿Ü¿¡µµ ºí·ç¼ÐÀ» ½ÇÇàÇÒ ¶§ Ư¼ö ÀÎÀÚ¸¦ Àü´ÞÇØ ½ÇÇà ÁßÀÎ ÇÁ·Î¼¼½ºÀÇ À̸§À¸·Î À§ÀåÇϸç, »ý¼ºÇÑ ºí·ç¼ÐÀ» ½ÇÇàÇÒ ¶§ ȯ°æ º¯¼ö ¡®lgdt¡¯¸¦ ¼³Á¤ÇÏ°í ½ÇÇàÇÏ´Â °ÍÀÌ Æ¯Â¡ÀÌ´Ù.
¡ãº¯°æµÈ ÇÁ·Î¼¼½º À̸§[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¡®¸®´ª½º(Linux) ¹öÀü¡¯¿¡¼ Ä¿½ºÅ͸¶ÀÌ¡µÈ ºí·ç¼ÐÀ» ºÐ¼®ÇßÀ» ¶§ °ø°Ý¿¡ »ç¿ëµÈ ºí·ç¼ÐÀº ±âº» ±â´ÉÀº °°Áö¸¸ ¸î °¡Áö Ư¡ÀÌ ÀÖ´Ù. C&C ¼¹ö ÁÖ¼Ò³ª Æ÷Æ® ¹øÈ£ µî ¼³Á¤ µ¥ÀÌÅÍ°¡ ¹ÙÀ̳ʸ®¿¡ Á¸ÀçÇÏ´Â ´ë½Å ƯÁ¤ ȯ°æ º¯¼ö¸¦ ÀÐ¾î º¹È£ÈÇØ ±¸ÇÑ´Ù. µå·ÎÆÛ ¾Ç¼ºÄÚµå´Â ȯ°æ º¯¼ö ¡®lgdt¡¯¸¦ ¼³Á¤ÇÏ°í ºí·ç¼ÐÀ» ½ÇÇàÇßÀ¸¸ç, ÀÌ¿¡ µû¶ó ȯ°æ º¯¼ö°¡ »ó¼ÓµÆ´Ù. ºí·ç¼ÐÀº ȯ°æ º¯¼ö ¡®lgdt¡¯¸¦ Base64·Î º¹È£ÈÇÑ ÈÄ À̸¦ ¼³Á¤ µ¥ÀÌÅÍ·Î »ç¿ëÇÑ´Ù. ±¹³» °ø°Ý »ç·Ê¿¡¼´Â Base64 º¹È£È ÀÌÈÄ ¡âC&C ¼¹öÀÇ ÁÖ¼Ò ¡âÆ÷Æ® ¹øÈ£ ¡â´ë±â ½Ã°£ µî 3°³ º¯¼ö°¡ È®ÀεȴÙ.
ű¹¿¡¼ ¾÷·ÎµåµÈ ºí·ç¼ÐÀº ƯÁ¤ °æ·Î¿¡ »ý¼ºµÇ¸ç ȯ°æ º¯¼ö¸¦ º¹È£ÈÇϸé 4°³ÀÇ µ¥ÀÌÅÍ°¡ È®ÀεȴÙ. ¼¼ ¹ø°±îÁöÀÇ ¼³Á¤ µ¥ÀÌÅÍ´Â °°À¸¸ç, ³× ¹ø°´Â °¨¿° ½Ã½ºÅÛ ±¸ºÐ¿¡ »ç¿ëµÈ´Ù. º¹È£ÈµÈ ¹®ÀÚ¿ÀÇ È£½ºÆ® À̸§Àº ű¹ ¹æ¼Û»çÀÇ À̸§°ú °°Àº °ÍÀ¸·Î º¸¾Æ ÇØ´ç °ø°Ý ±×·ìÀº ű¹¿¡ APT °ø°ÝÀ» ¼öÇàÇÑ °ÍÀ¸·Î ÃßÁ¤µÈ´Ù. Âü°í·Î ±¹³»¡¤Å±¹ °ø°Ý¿¡ »ç¿ëµÈ ºí·ç¼ÐÀº ¸ðµÎ 1.18.4 ¹öÀüÀÇ °í ¾ð¾î ȯ°æÀ¸·Î ºôµåµÆÀ¸¸ç, 2022³â 9¿ùºÎÅÍ °ø°ÝÀ» ÁøÇàÇßÀ» °ÍÀ¸·Î º¸ÀδÙ.
¡ãȯ°æ º¯¼ö¸¦ º¹È£ÈÇØ ¼³Á¤ µ¥ÀÌÅÍ·Î »ç¿ëÇÏ´Â ·çƾ[ÀÚ·á=¾È·¦ ASEC ºÐ¼®ÆÀ]
¾È·¦ ASEC ºÐ¼®ÆÀ °ü°èÀÚ´Â ¡°ºí·ç¼ÐÀº ¹éµµ¾î ¾Ç¼ºÄÚµå·Î °¨¿° ½Ã½ºÅÛ¿¡¼ °ø°ÝÀÚÀÇ ¸í·ÉÀ» ¹Þ¾Æ ¸í·É ½ÇÇà, ÆÄÀÏ ´Ù¿î·Îµå¡¤¾÷·Îµå, Socks5 ÇÁ·Ï½Ã µîÀÇ ±â´ÉÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù. Go ¾ð¾î·Î °³¹ßµÅ À©µµ ¹× ¸®´ª½º ȯ°æµµ °ø°Ý ´ë»óÀÌ µÉ ¼ö ÀÖ´Ù. ¶ÇÇÑ, ±êÇãºê¿¡ ¿ÀǼҽº·Î °ø°³µÅ ´Ù¾çÇÑ °ø°ÝÀÚµéÀÌ »ç¿ëÇÑ´Ù¡±°í ¸»Çß´Ù. ÀÌ¾î ¡°º¸¾È °È¸¦ À§Çؼ´Â Ãë¾àÇÑ È¯°æ ¼³Á¤À» °Ë»çÇÏ°í, °ü·Ã ½Ã½ºÅÛµéÀ» Ç×»ó ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ °ø°ÝÀ¸·ÎºÎÅÍ º¸È£ÇØ¾ß ÇÑ´Ù. ¶ÇÇÑ, V3 µî ¹é½ÅÀ» ÃֽŠ¹öÀüÀ¸·Î ¾÷µ¥ÀÌÆ®ÇØ ¾Ç¼ºÄÚµåÀÇ °¨¿°À» »çÀü¿¡ Â÷´ÜÇØ¾ß ÇÑ´Ù¡±°í °Á¶Çß´Ù.
[±è¿µ¸í ±âÀÚ(boan@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>