2013년에 처음 등장했던 KimJongRAT 악성코드, 기억하시나요? 그 악성 RAT(Remote Access Trojan)가 2025년에도 여전히 살아 있고, 더 정교해진 형태로 돌아왔습니다. 😨
이번에는 두 가지 변종이 새롭게 등장했어요. 하나는 PE(Portable Executable) 파일 기반, 다른 하나는 PowerShell 스크립트 기반입니다. 둘 다 암호화폐 지갑 탈취를 주요 목적으로 삼고 있어요. 특히 MetaMask, Trust Wallet, Phantom 같은 지갑 사용자라면 주의가 필요합니다. 🛑
🔗 첫 시작은 LNK 파일…?
공격의 시작은 매우 교묘합니다. 사용자가 Sex Offender Personal Information Notification 같은 유혹적인 파일명의 Windows LNK 파일(바로가기 파일)을 실행하는 순간, 공격이 시작됩니다.
이 LNK 파일은 실제로는 **CDN 서버(cdn.glitch[.]global 등)**에서 HTA 파일을 다운로드하도록 짜여 있어요. HTA는 HTML Application의 약자로, Windows에서 실행 가능한 스크립트 기반 악성파일이죠.
이 파일이 실행되면 피해자의 눈을 속이기 위한 가짜 PDF 문서를 보여주는 동시에, 시스템 폴더에 압축파일을 숨겨둡니다:
이 ZIP 파일에는 매우 중요한 구성 요소들이 들어 있습니다:
- 1.ps1 : Base64로 인코딩된 Stealer/Keylogger를 로딩
- 로그 파일 : 실제 악성 스크립트 본체가 포함되어 있음
🧬 PowerShell 변종: 메모리 기반 스텔스 공격
이 변종은 PowerShell로 실행되는만큼 파일을 거의 남기지 않고, 메모리 상에서 모든 작업이 이뤄지도록 설계돼 있습니다.
📌 주요 특징:
- 레지스트리 등록을 통한 영속성 유지
- MetaMask, Trust Wallet, Phantom 등의 지갑 브라우저 확장 탈취
- Chrome, Edge, Firefox의 저장된 비밀번호, 쿠키, 브라우저 히스토리 수집
- C2 통신 주기적 수행 (Work 함수 사용)
- Base64 디코딩 + Invoke-Expression 조합으로 실행 우회
💡 예시 PowerShell 코드 일부:
$encoded = Get-Content ".\net.log"
$decoded = [System.Text.Encoding]::UTF8.GetString([System.Convert]::FromBase64String($encoded))
Invoke-Expression $decoded🧰 PE 변종: DLL + 스틸러 조합
PowerShell을 쓰지 않는 이 변종은 PE 포맷을 기반으로 한 DLL 실행 + 페이로드 분리형 구조입니다. 주요 구성은 다음과 같아요:
- sys.dll : 로더 역할을 하는 DLL
- main64.log : orchestrator
- net64.log : 메인 Stealer
이 변종은 브라우저 정보 외에도 FTP, 이메일 클라이언트 로그인 정보까지 훔칩니다. 즉, 개인뿐 아니라 기업 시스템에도 직접적인 위협이 되는 거죠.
🛡️ 보안 우회 기술도 업그레이드
두 변종 모두 감염 후 명령제어(C2) 서버와 통신하며 데이터를 탈취하고 추가 페이로드를 받을 수 있습니다. 그리고 이 통신은 보통 XOR 또는 RC4 암호화를 사용해 탐지 우회를 시도합니다.
또한 PowerShell 변종은 가상머신(Sandbox) 회피 기능도 가지고 있지만, 구현은 조금 미흡한 상태입니다. 😅
🔎 감염 흔적(IOC) 정리
| 항목 | 샘플 |
| LNK 파일 | a66c25b1f0dea6e06a4c9f8c5f6ebba0... |
| HTA 파일 | 02783530bbd8416ebc82ab1eb5bbe81d... |
| PS 로더 | 97d1bd607b4dc00c356dd873cd4ac309... |
| CDN | cdn.glitch[.]global/2eefa6a0... |
| C2 | 131.153.13[.]235/sp/ |
※ 실제 환경에서는 최신 EDR이나 Threat Intel 솔루션과 연동해 IOC 차단 설정을 적용하는 게 중요합니다.
💥 왜 이 공격이 위험한가요?
- 사용자가 직접 실행하게 유도
- 마치 정상 문서처럼 보이게 만들어 클릭을 유도하는 사회공학 전술입니다.
- 암호화폐 지갑을 정조준
- 개인 투자자, Web3 사용자, 기업 담당자의 암호자산 탈취 가능성이 높습니다.
- 브라우저, 이메일, FTP 자격증명까지 수집
- 개인 정보 수준이 아니라 업무 정보까지 위협할 수 있습니다.
- CDN 활용으로 탐지 우회
- 정상적인 트래픽처럼 보여 방화벽이나 IDS에서 탐지 어렵습니다.
🔐 대응 전략 및 팁
✅ 의심스러운 LNK, HTA, ZIP 파일 절대 실행하지 말기
✅ 암호화폐 지갑은 하드웨어 지갑에 보관
✅ PowerShell 사용 제한 정책 적용 (기업 환경)
✅ EDR, XDR, 탐지형 보안 솔루션 사용
✅ 정기적인 보안 교육 + 모의 피싱 훈련 병행
📌 마무리하며…
KimJongRAT은 2013년에 등장한 오래된 악성코드지만, 오늘날에도 여전히 발전하고 있으며 더 정교한 방식으로 사용자를 노리고 있습니다. 특히 암호화폐, 개인정보, 인증 정보 등 수익성 높은 데이터를 목표로 삼는 만큼 우리 모두의 주의가 필요합니다. 🧠
💬 회사 보안팀, IT 관리자라면? 지금이 바로 메일 보안 점검과 직원 보안 인식 교육을 강화할 타이밍입니다!
'CyberSecurity > Security🔐' 카테고리의 다른 글
| 🚨 sslh에서 발견된 치명적 취약점 2건! 이제는 DoS 공격도 한 줄 코드로 가능? (0) | 2025.06.22 |
|---|---|
| 🎯 Remcos부터 AsyncRAT까지… 3단계로 은밀하게 침투하는 ‘sostener.vbs’ 캠페인 주의보! (2) | 2025.06.18 |
| 😱 ClickFix 변종 ‘LightPerlGirl’ 등장! 당신도 모르게 PowerShell을 실행하게 만든다고? (5) | 2025.06.18 |
| 🔎 JFrog, PyPI에서 고도화된 악성 패키지 발견!chimera-sandbox-extensions, 기업 인프라 타깃 공격 사례 분석 (0) | 2025.06.17 |
| 🕵️♂️ 아이폰도 뚫렸다! Citizen Lab, Paragon Graphite 스파이웨어 포렌식 분석 보고 (0) | 2025.06.13 |