IP Á¶È¸ °á°ú ¡®»õ ¼¼±â »ê¾÷ Çõ¸í¡¯ ȸ»ç Á¤º¸ È®ÀÎ...ºÏÇÑ°ú °ü·ÃµÈ Ç¥Çö ´Ù¼ö
±¹³» ÀÌÈ£½ºÆ®¾ÆÀ̾¾Æ¼(ehostict) È£½ºÆà »ç¿ë ÀÌ·Â...Æ÷ÅС¤°¡»óÀÚ»ê°Å·¡¼Ò À¯»çÇÑ µµ¸ÞÀÎ È°¿ë
[º¸¾È´º½º ÀÌ¼Ò¹Ì ±âÀÚ] »õÇظ¦ ¸ÂÀÌÇÏ¸ç ³ª´©´Â ¡®½Å³âÀλ硯´Â À¸·¹ ÀÚ¿¬½º·¯¿î ¾ÈºÎ¸¦ ¹¯±â¿¡ ÀûÇÕÇÏ´Ù. ÀÌ·¯ÇÑ ½Ã±â¸¦ ÀÌ¿ëÇØ °ø°ÝÀÚ°¡ ½ÃÁð Ÿ±ê °ø°ÝÀ» ¼öÇàÇÑ »ç·Ê¸¦ Áö´Ï¾ð½º ½ÃÅ¥¸®Æ¼ ¼¾ÅÍ(ÀÌÇÏ GSC)°¡ ºÐ¼®ÇØ ¹ßÇ¥Çß´Ù. ÇØ´ç °ø°ÝÀº ½ÇÁ¦ ÇÑ ¾ð·Ð»ç¿¡ ¿Ã·ÁÁø ¿ÀÇǴϾð Ä®·³ Á¦¸ñÀ» ±×´ë·Î ÀοëÇØ À̸ÞÀÏ ±â¹Ý ½ºÇǾîÇÇ½Ì °ø°ÝÀÌ °¨ÇàµÆ´Ù. ÁÖ·Î ÆòÀÏ ÁÖ°£ ½Ã°£´ë¿¡ ¹ß¼ÛµÆÀ¸¸ç, ¸¶Ä¡ ºñÁî´Ï½º»ó ÀÌ¹Ì ¾Ë°í ÀÖ´Â ÁöÀÎó·³ Á¢±ÙÇÏ´Â »çȸ°øÇÐÀû ±â¹ý±îÁö È°¿ëµÆ´Ù.
[À̹ÌÁö=gettyimagesbank]
°ø°ÝÀÚÀÇ Ãʱâ Á¢±Ù ¹æ¹ýÀº ÀüÅëÀûÀÎ ¹æ½ÄÀÇ À̸ÞÀÏ ±â¹Ý ½ºÇǾîÇǽÌÀÌÁö¸¸, »çȸ°øÇÐÀû ±â¹ý ±Ø´ëȸ¦ À§ÇØ ÁÖ¿ä °ü½É»ç¡¤Çà»ç µîÀ» ÁÖÁ¦·Î »ï´Â´Ù. ½ºÇǾîÇǽÌÀº ºÒƯÁ¤ ´Ù¼ö¸¦ °Ü³ÉÇÏ´Â ÀÏ¹Ý Çǽ̰ú ´Þ¸® ƯÁ¤ÀÎÀÇ Á¤º¸¸¦ ij³»±â À§ÇÑ ÇÇ½Ì °ø°ÝÀ» ¸»ÇÑ´Ù. °ø°Ý À̸ÞÀÏ Á¦¸ñÀº ƯÁ¤ ÁöÀÎó·³ ¡®OOOÀÔ´Ï´Ù¡¯·Î ½ÃÀÛÇØ ¡®2024³â »õÇØ, ³²ºÏ¹Ì 3±¹ Á¤»ó¿¡°Ô µå¸®´Â ¸Þ½ÃÁö.zip¡¯À̶ó´Â ¾ÐÃà ÆÄÀÏ°ú À̸¦ ÇØÁ¦ÇÒ ¼ö ÀÖ´Â ºñ¹Ð¹øÈ£ 10ÀÚ¸®±îÁö ±âÀçµÅ ÀÖ´Ù. ÀÌ¿Í °ü·ÃÇØ GSC´Â º¸¾È ±â´ÉÀÌ ¾Æ´Ñ ¹æ¾î ȸÇÇ(Defense Evasion) Àü·«À¸·Î º¸ÀÎ´Ù°í ¼³¸íÇß´Ù.
¡ã½ºÇǾî ÇÇ½Ì °ø°Ý È¸é ¹× DOCX ¹®¼·Î À§ÀåµÈ LNK ¾Ç¼ºÆÄÀÏ[À̹ÌÁö=Áö´Ï¾ð½º]
½ÇÁ¦·Î À̸ÞÀÏ¿¡ ÷ºÎµÈ ¾ÐÃà ÆÄÀÏÀº ´ë¿ë·® ¸µÅ©·Î Àü´ÞµÆ´Âµ¥ ½ÇÁ¦ ÆÄÀÏ Å©±â´Â 2,472 ¹ÙÀÌÆ®·Î ¸Å¿ì ÀûÀº Æí¿¡ ¼ÓÇÑ´Ù. °ø°ÝÀÚµéÀº ¾Ç¼º ÆÄÀÏ Ã·ºÎ ½Ã URL ¸µÅ© ÁÖ¼Ò·Î º¸³»´Âµ¥ ÀÌ´Â º¸¾È ¼ºñ½º ŽÁö ¿ìȸ ¹× ÆÄÀÏ ±³Ã¼¡¤Á¦°Å°¡ »ó´ëÀûÀ¸·Î ¿ëÀÌÇϱ⠶§¹®ÀÌ´Ù.
¾ÐÃàÆÄÀÏÀ» Ç®¸é ÆÄÀÏ¸í ¡®2024³â »õÇØ, ³²ºÏ¹Ì 3±¹ Á¤»ó¿¡°Ô µå¸®´Â ¸Þ½ÃÁö.docx.lnk¡¯·Î ÀÌÁß È®ÀåÀÚ¸¦ °¡Áø ¹Ù·Î°¡±â(LNK) ŸÀÔÀÇ ¾Ç¼º ÆÄÀÏÀÌ ³ªÅ¸³´Ù. ÀÌÁß È®ÀåÀÚ ÆÄÀÏÀº [ÆÄÀϸí.docx.lnk] ÇüÅ·Π¡®docx¡¯ ºÎºÐÀÌ ÃÖÁ¾ È®ÀåÀÚ·Î º¸ÀÌ°Ô µÈ´Ù. ÀÌ·¯ÇÑ ¾Ç¼º LNK ÆÄÀÏÀº ¡®¼½ÄÀÖ´Â ÅؽºÆ®(RTF)¡¯¸¦ ÀÛ¼ºÇÏ´Â ¿öµåÆÐµå ¾ÆÀÌÄÜ ¸ð¾çÀ» ÃëÇÏ°í ÀÖ´Ù.
¡ãLNK ³»ºÎ¿¡ Æ÷ÇÔµÈ PowerShell ¸í·É¾î ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
GSC°¡ ºÐ¼®ÇÑ LNK ÆÄÀÏ ¼Ó¼º Á¤º¸¸¦ ÅëÇØ È£ÃâµÇ´Â ÆÄ¿ö¼Ð(PowerShel)l ¸í·ÉÀº ³»ºÎ¿¡ »ðÀÔµÈ Base64 ÀÎÄÚµù °ª ¡®zcnodcnewf(¹«ÀÛÀ§ ¼ýÀÚ).ps1¡¯ ÆÄÀÏ·Î µðÄÚµù µÈ´Ù. BASE64 ÀÎÄÚµù µ¥ÀÌÅʹ ù ¹ø° ¡®$filePath¡¯ º¯¼ö¸¦ ÅëÇØ Àӽðæ·Î(Temp)¿¡ ¡®swolf-first.ps1¡¯ PowerShell ÆÄÀϸíÀ» ¼±¾ðÇÑ´Ù. Âü°í·Î ¡®swolf¡¯´Â ¡®Swim¡¯°ú ¡®Golf¡¯ÀÇ ÇÕ¼º¾î·Î º¸Åë ¼ö¿µÀÇ È¿À²¼ºÀ» ÃøÁ¤ÇÏ´Â ¼öÄ¡Áö¸¸ °ø°ÝÀÚ°¡ »ç¿ëÇÑ Á¤È®ÇÑ Àǵµ´Â ¾ÆÁ÷±îÁö ¹àÇôÁöÁö ¾Ê¾Ò´Ù.
¶ÇÇÑ º¯¼ö È°¿ëÀÌ µÎµå·¯Áö´Â °ÍÀ» È®ÀÎÇÒ ¼ö Àִµ¥ ¡®$settings¡¯ ¼û±è ±â´ÉÀ¸·Î ¿¹¾à ÀÛ¾÷À» ¼³Á¤ÇØ ÀÛ¾÷ À̸§À» ¡®MicrosoftEdgeUpdateVersion¡¯·Î µî·ÏÇß´Ù. ÀÌ´Â ¸¶Ä¡ MS ¿§Áö ºê¶ó¿ìÀú ¾÷µ¥ÀÌÆ® ¹öÀüó·³ À§ÀåÇÑ´Ù. ¿©±â¼ ¡®Microsoft¡¯ Ç¥Çö¿¡ ¾ËÆĺª c ¿ÀÅ»ÀÚ°¡ º¸ÀδÙ. ¡®$filePath¡¯´Â ¡®Invoke-WebRequest¡¯ ¸í·ÉÀ¸·Î ÁöÁ¤µÈ ±¸±Û µå¶óÀ̺ê ÁÖ¼Ò¿¡¼ ¡®1.txt¡¯ ÆÄÀÏÀ» ÀÓ½ÃÆú´õ(Temp) °æ·Î·Î ´Ù¿î·ÎµåÇÏ°í, È®ÀåÀÚ ¡®rtf¡¯·Î ¹Ì³¢¿ë ¹®¼ ÆÄÀÏÀ» »ý¼º¡¤½ÇÇàÇÑ´Ù. ´Ü¼ø ÅؽºÆ® ¹®¼Ã³·³ º¸ÀÌÁö¸¸ ½ÇÁ¦·Î´Â ¾Ç¼º PowerShell ¸í·ÉÀÌ »ðÀÔµÈ »óÅ´Ù. ¡®calc.txt¡¯ ÆÄÀÏÀÇ PowerShell ¸í·ÉÀº ¶Ç ´Ù¸¥ ±¸±Û µå¶óÀ̺ê ÁÖ¼Ò¿¡ ¡®rc.rtf¡¯ ÆÄÀÏÀ» ¡®swolf-data¡¯ À̸§À¸·Î Àӽà Æú´õ(Temp) °æ·Î¿¡ ÀúÀåÇÑ´Ù. ÀÌÀü°ú ´Þ¸® ¡®txt¡¯°¡ ¾Æ´Ñ ¡®rtf¡¯ ¹®¼·Î È®ÀåÀÚ»Ó¸¸ ¾Æ´Ï¶ó ÆÄÀÏ ³»ºÎ Çì´õ(File Magic Number)±îÁö À§ÀåÇÑ ¸ð½ÀÀÌ´Ù.
¡ã¡®fox tian¡¯ °èÁ¤À¸·Î µî·ÏµÈ ±¸±Û µå¶óÀÌºê ¸ð½À°ú ¡®calc.txt¡¯ ³»ºÎ PowerShell ¸í·É¾î ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
¿©±â¼ ÁÖ¸ñÇÒ °ÍÀº ¡®swolf-first.ps1¡¯ PowerShell ¸í·ÉÀ¸·Î È£ÃâµÇ´Â ±¸±Û µå¶óÀ̺꿡 2023³â 12¿ù 29ÀÏ ¡®calc.txt¡¯ ÆÄÀÏÀÌ ¡®fox tian¡¯ °èÁ¤ ¼ÒÀ¯ÀÚ°¡ µî·ÏÇß´Ù´Â Á¡ÀÌ´Ù. °ø°ÝÀÚ°¡ »ç¿ëÇÑ °èÁ¤¸íÀº ¡®fox tian¡¯, À̸ÞÀÏ ÁÖ¼Ò´Â ¡®tianfox67@gmail[.]com¡¯ÀÌ´Ù.
À̹ø °ø°Ý¿¡ ¾²ÀÎ ¡®cmdline.exe¡¯ ÆÄÀÏÀº C#(.NET) ±â¹ÝÀ¸·Î °³¹ßµÈ ¡®Custom XenoRAT¡¯ÀÌ´Ù. ¡®XenoRAT¡¯Àº 1.0 ¹öÀüÀ» ½ÃÀÛÀ¸·Î ¿ÃÇØ 1¿ù 1.7.0 ¹öÀüÀÌ °ø°³µÆ´Ù. ÀÌ´Â ¿ÀǼҽº ±â¹ÝÀÇ ¿ø°Ý Á¦¾î µµ±¸·Î ´©±¸³ª ½±°Ô ¾Ç¿ëÇÒ ¼ö ÀÖ´Ù. ÀÚ½ÅÀ» C# °³¹ßÀÚ µîÀ¸·Î ¼Ò°³ÇÑ XenoRAT °³¹ßÀÚ´Â ¹ýÀû¡¤À±¸®Àû °æ°è¸¦ ÁöÄÑ¾ß ÇÑ´Ù°í ¾È³»ÇÏ°í ÀÖÁö¸¸, µ¿ÀÏ ¾ÆÀ̵𰡠ÇØÅ·¡¤µ¥ÀÌÅÍ À¯Ãâ µîÀÇ Á¤º¸ °øÀ¯ ºÒ¹ý À¥»çÀÌÆ®ÀÎ ¡®Breachforums¡¯, ¡®Hack Forums¡¯ÀÇ °¡ÀÔ ÀÌ·ÂÀÌ Á¶È¸µÆ´Ù.
¡ãRAT °³¹ßÀÚ Á¤º¸ ¹× XenoRAT ¼¹ö Client ´ë»ó ¿ø°ÝÁ¦¾î ±â´É ¼±Åà ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
GSC°¡ XenoRAT Server ÇÁ·Î±×·¥À» »ìÆ캻 °á°ú, ´Ù¾çÇÑ Á¶°ÇÀÇ Client ÆÄÀÏÀ» Á¦ÀÛ¡¤½ÇÇàÇØ ÀÚü ¼¹ö ÁÖ¼Ò·Î Á¢¼ÓÇÏ¸é ¹öÀü ¹× »ç¿ëÀÚ Á¤º¸°¡ Ãâ·ÂµÇ°í ¼±ÅÃµÈ ´Ü¸»À» ´ë»óÀ¸·Î ¡âBSOD ¹ß»ý ¡âÆÄÀÏ Å½»ö ¡â½Ã½ºÅÛ Á¾·á ¡âÀ¥Ä· ¡â¶óÀÌºê ¸¶ÀÌÅ© ¡âÅ°·Î°Å ¡âȸé Á¦¾î µî °¢Á¾ ¿ø°Ý Á¦¾î Ç÷¯±×ÀÎ ±â´ÉÀ» ¼öÇàÇÒ ¼ö ÀÖ´Ù. ƯÈ÷ HVNC(Hidden Virtual Network Computing) ±â´ÉÀ¸·Î ´Ü¸» »ç¿ëÀÚ°¡ ¸ð¸£°Ô ¿ø°Ý Á¦¾î ¼öÇàÀÌ °¡´ÉÇÏ´Ù.
À̹ø ¡®ÁöÀÎ »çĪ ¾ð·Ð Ä®·³ »õÇØ Àλç À§Çù »ç·Ê¡¯¿¡¼ »ç¿ëµÈ ¸í·ÉÁ¦¾î(C&C) ¼¹ö ÁÖ¼Ò´Â ¡®RemoteEndPoint¡¯ °ªÀ¸·Î ¼³Á¤µÆÀ¸¸ç, µ¶ÀÏ ¼ÒÀç ¡®159.100.29[.]38¡¯ IP ÁÖ¼Ò·Î Æ÷Æ®¸íÀº ¡®9999¡¯´Ù. À̸¦ GSC°¡ ÆÄÀÏ °Ë»ç À¥»çÀÌÆ® ¡®¹ÙÀÌ·¯½ºÅäÅ»(VirusTotal)¡¯·Î IP ÁÖ¼Ò¸¦ Á¶È¸ÇÑ °á°ú, Áö³ÇØ 7¿ùºÎÅÍ ´çÇØ 1¿ù±îÁö ÇØ´ç ¼¹ö¿¡ ¿¬°áµÆ´ø µµ¸ÞÀÎ ¡®akites[.]site¡¯ÀÇ Passive DNS ±âÁØ IP ÁÖ¼Ò´Â ÃÑ 6°³·Î ³ªÅ¸³µ´Ù. ƯÀÌÇÑ Á¡Àº ¿ÃÇØ 1¿ù ÀÌÀü ½ÃÁ¡¿¡´Â ´ëºÎºÐ ±¹³» IDC(Internet Data Center) ¼ºñ½º Á¦°ø¾÷ü ÀÌÈ£½ºÆ®¾ÆÀ̾¾Æ¼(ehostict) È£½ºÆÃÀÌ »ç¿ëµÈ ÀÌ·ÂÀÌ È®ÀεƴÙ. ÇØ´ç ÀÌ·ÂÀ» Á¶È¸ÇØ º¸¸é ±¹³» Æ÷ÅÐȸ»ç ¹× °¡»óÀÚ»ê °Å·¡¼Ò µî°ú À¯»çÇÑ µµ¸ÞÀΰú ÀϺΠÇÑ±Û µµ¸ÞÀÎÀÌ »ç¿ëµÆ´Ù.
¡ã¹ÙÀÌ·¯½ºÅäÅ» IP Á¶È¸ °á°ú¿Í °¢ IPº° µµ¸ÞÀÎ ÀÌ·Â Á¶È¸ ³»¿ª[À̹ÌÁö=Áö´Ï¾ð½º]
´ç½Ã ¡®Criminal IP¡¯ÀÇ Á¶È¸ ¸®Æ÷Æ®¿¡´Â ÀϽÃÀûÀ¸·Î ³ëÃâµÆ´ø ¡®»õ¼¼±â¡¯¶ó´Â ¸íĪÀÇ È¸»ç ¼Ò°³¿Í ¼ºñ½º Á¦°ø ³»¿ëÀÌ ´ã°Ü ÀÖ´Ù. ÇöÀç´Â ¡®The future is beautyful¡¯·Î ¿ÀŸ(beautiful)°¡ Æ÷ÇÔµÈ ¹®À常 ³²¾Æ ÀÖ´Ù. ±¸±Û¿¡¼ ¡®»õ¼¼±â¡¯¸¦ °Ë»öÇÏ¸é ºÏÇÑ°ú °ü·ÃµÈ ³»¿ëÀÌ º¸À̴µ¥ ¡®4Â÷ »ê¾÷Çõ¸í¡¯À» ¡®»õ¼¼±â »ê¾÷Çõ¸í¡¯À¸·Î ÁöĪÇÏ´Â µî IT ±â¼úÀÇ Á߿伺À» °Á¶ÇÏ°í ÀÖ´Ù.
¡ã¡®AI Spera¡¯ÀÇ ¡®Criminal IP¡¯ Á¶È¸ ¹× ¡®»õ¼¼±â¡¯ Å°¿öµå ±¸±Û °Ë»ö °á°ú ȸé[À̹ÌÁö=Áö´Ï¾ð½º]
¶ÇÇÑ IP ÁÖ¼Ò±â¹Ý À§Çù ÀÎÅÚ¸®Àü½º °Ë»ö¿£ÁøÀÎ ¡®Å©¸®¹Ì³Î ¾ÆÀÌÇÇ(Criminal IP)¡¯¸¦ ÅëÇØ À¥ ¼¹ö ¸ÞÀÎ À妽º ÆÄÀÏ º¸°üÀ» È®ÀÎÇÒ ¼ö ÀÖ¾ú´Ù. Á¶È¸ ÀÚ·á Áß¿¡´Â ¡â¿ø°Ý µ¥½ºÅ©Åé(RDP) ÇÁ·ÎÅäÄÝ °Ë»ö ³»¿ë ¡â´ë»ó ¼¹ö ¿î¿µÃ¼Á¦(OS) ¡âÄÄÇ»ÅÍ¸í µîÀÌ Æ÷ÇԵŠÀÖ´Ù. GSC´Â À̹ø °ø°Ý¿¡ È°¿ëµÈ Ä¿½ºÅÒ XenoRAT ¡®cmdline.exe¡¯ ¾Ç¼º ÆÄÀÏ¿¡¼ ¡®SRV48686075¡¯ °èÁ¤ÀÌ Æ÷ÇÔµÈ °ÍÀ» È®ÀÎÇß´Ù.
ÀÌ¿Í °ü·ÃÇØ GSC´Â ¡°ÃÖ±Ù ±¹³»¿¡¼ ¹ß»ýÇÑ APT °ø°ÝµéÀº PowerShell ¸í·ÉÀ» ÅëÇØ Fileless ÇüÅ·ΠÀº¹ÐÇÏ°Ô ÀÛµ¿ÇÑ´Ù¡±¸é¼, ¡°´Ü¸»¿¡ Ãʱâ À¯ÀԵǴ ¾Ç¼º ÆÄÀÏ ´ëºÎºÐÀÌ Àß ¾Ë·ÁÁø º¸¾ÈÁ¦Ç° ÆÐÅÏ ¹× ½Ã±×´Ïó¿¡¼ Ž»öÀÌ ºÒ°¡´ÉÇÑ °ÍÀÌ Æ¯Â¡¡±À̶ó°í ÁöÀûÇß´Ù.
À̾î ÇöÀç Áö´Ï¾ð½ºÀÇ ¡®Genian EDR¡¯ Á¦Ç°ÀÌ ÀÌ·¯ÇÑ ÀÌ»ó ÇàÀ§µéÀ» XBA ±ÔÄ¢À¸·Î Á¶±â ŽÁöÇØ º¸¾È´ã´çÀÚµéÀÌ ÈļÓÁ¶Ä¡¸¦ ¼öÇàÇÒ ¼ö ÀÖ´Ù°í ¹àÇû´Ù.
[ÀÌ¼Ò¹Ì ±âÀÚ(boan4@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>