KkRAT 악성코드
정보보안 연구원들이 중국어 사용자를 대상으로 활동 중인 악성코드 캠페인을 발견했습니다. 이 캠페인은 이전에 문서화되지 않은 원격 접속 트로이 목마인 kkRAT을 사용합니다. 이 캠페인은 2025년 5월 초부터 실행된 것으로 보이며, 익숙한 RAT 기법과 모듈식 로더, 그리고 속임수를 결합하여 탐지를 피하고 지속성을 확보합니다.
목차
위협 출처 및 코드라인 링크
분석 결과, kkRAT는 기존 RAT 계열에서 상당 부분 차용한 것으로 나타났습니다. 네트워크 프로토콜과 일부 코드 구조는 Gh0st RAT(Ghost RAT) 및 중국 기반 사이버 범죄 조직에서 역사적으로 사용했던 RAT인 Big Bad Wolf(大灰狼)에서 사용하는 것과 유사합니다. 연구진은 압축 기술 위에 추가적인 암호화를 적용하여, 추가적인 암호화 단계를 거친 Ghost와 유사한 통신 채널을 구축했습니다.
배포 방법 - GitHub 페이지에 호스팅된 가짜 설치 프로그램
공격자들은 GitHub 페이지에 인기 애플리케이션(예: DingTalk)을 사칭하는 피싱 페이지를 호스팅하고 가짜 설치 프로그램을 통해 트로이 목마 3개를 유포했습니다. GitHub의 평판을 악용하여 피해자들이 설치 프로그램을 신뢰하고 실행할 가능성을 높였습니다. 전문가들은 해당 페이지를 호스팅하는 데 사용된 GitHub 계정이 더 이상 사용할 수 없다고 지적합니다.
설치 프로그램 동작
가짜 설치 프로그램이 실행되면 샌드박스 환경과 가상 머신을 감지하기 위해 여러 차례 검사를 수행하고 보안 제어를 우회하려고 시도합니다. 관리자 권한을 요청하고, 권한이 부여되면 활성 네트워크 어댑터를 열거하고 일시적으로 비활성화합니다. 이는 바이러스 백신 네트워크 검사를 방해하고 정상적인 바이러스 백신 작동을 방해하여 변경 작업을 진행합니다.
반 AV 기술
이 악성코드는 RealBlindingEDR 오픈소스 프로젝트의 코드를 재사용하여 엔드포인트 보안을 무력화하는 BYOVD(Bring-Your-Own-Vulnerable-Driver) 기법을 사용합니다. 특히 다음과 같은 소비자 및 기업용 보안 제품군을 검색하여 표적으로 삼습니다.
360 인터넷 보안 제품군
360 토탈 시큐리티
HeroBravo 시스템 진단 제품군
킹소프트 인터넷 시큐리티
QQ电脑管가족
관련 바이러스 백신 프로세스를 종료한 후, 설치 프로그램은 SYSTEM 권한으로 실행되는 예약된 작업을 생성합니다. 이 작업은 각 사용자 로그인 시 일괄 처리 스크립트를 실행하여 대상 바이러스 백신 프로세스가 로그인 시 자동으로 종료되도록 합니다. 또한, 이 맬웨어는 네트워크 검사를 비활성화하는 것과 동일한 방식으로 Windows 레지스트리 항목을 수정한 다음, 수정이 완료되면 네트워크 어댑터를 다시 활성화합니다.
페이로드 체인
설치 프로그램의 주요 역할은 셸코드를 실행하는 것입니다. 셸코드는 하드코딩된 URL에서 '2025.bin'이라는 난독화된 보조 셸코드 파일을 가져와 실행합니다. 이 셸코드는 다운로더 역할을 하며 'output.log'라는 아티팩트를 검색하고, 이 아티팩트는 두 URL에 연결하여 두 개의 ZIP 아카이브 파일을 다운로드합니다.
- trx38.zip — 합법적인 실행 파일과 DLL 사이드로딩을 통해 실행되는 악성 DLL이 포함되어 있습니다.
- p.zip — 암호화된 최종 페이로드를 보관하는 longlq.cl이라는 파일을 포함합니다.
이 악성코드는 trx38.zip 파일의 합법적인 실행 파일로 바로가기를 생성하고, 사용자의 시작 폴더에 저장하여 영구적으로 보관한 후, 합법적인 실행 파일을 실행하여 악성 DLL을 사이드로드합니다. 이 DLL은 longlq.cl에 포함된 최종 페이로드를 복호화하고 실행합니다. 캠페인의 최종 페이로드는 캠페인 인스턴스마다 다르며, 확인된 페이로드 중 하나는 kkRAT입니다.
kkRAT 기능(명령, 플러그인 및 동작)
kkRAT는 소켓을 통해 C2 서버에 접속하여 감염된 호스트의 프로파일을 분석하고, 광범위한 원격 제어 및 데이터 수집을 가능하게 하는 플러그인과 명령을 다운로드합니다. 관찰된 기능은 다음과 같습니다.
- 화면 캡처 및 사용자 입력(키보드 및 마우스) 시뮬레이션
- 클립보드 내용 읽기 및 수정(암호화폐 주소 교체에 사용)
- 원격 데스크톱 기능 활성화 및 브라우저를 포함한 애플리케이션 시작/원격 종료
- 대화형 셸을 통한 원격 명령 실행
- 화면상 Windows 관리 및 프로세스 목록/종료
- 활성 네트워크 연결 열거
- 설치된 애플리케이션 나열 및 선택한 소프트웨어 제거
- 자동 실행 레지스트리 값 읽기 및 자동 실행 항목 열거
- 트래픽을 라우팅하고 방화벽이나 VPN을 우회할 수 있는 SOCKS5 프록시 역할을 합니다.
kkRAT에는 복사된 암호화폐 지갑 주소를 대체하는 클리퍼 기능과 다양한 브라우저 및 메시징 앱(예: 360 Speed Browser, Google Chrome, Internet Explorer, Mozilla Firefox, QQ Browser, Sogou Explorer, Telegram)에서 데이터를 지우는 루틴도 포함되어 있습니다.
요약 - 공격 캠페인이 중요한 이유
이 캠페인은 다음과 같은 특징을 결합한 것으로 유명합니다. 합법적인 것처럼 보이는 GitHub 페이지를 통한 소셜 엔지니어링 유포, 고급 분석 및 바이러스 백신 방지 기술(샌드박스/가상 머신 탐지, RealBlindingEDR 코드를 사용한 BYOVD), DLL 사이드로딩 및 암호화된 페이로드 컨테이너를 사용하는 다단계 로더, 그리고 정보 유출(클립보드 하이재킹, 화면 캡처, 데이터 유출)과 운영 도구(원격 관리 도구, 프록싱)를 모두 지원하는 완전한 기능을 갖춘 RAT(kkRAT)가 결합되었습니다. 모듈형 아키텍처는 최종 페이로드를 교체할 수 있어 운영자의 유연성을 높이고 탐지 및 속성 지정을 복잡하게 만듭니다.
