OneClik 맬웨어
원클릭(OneClik)이라는 정교한 사이버 공격이 에너지, 석유, 가스 분야를 표적으로 삼고 있으며, 기만적인 배포 방식과 맞춤형 악성코드를 혼합하여 사용하고 있습니다. 이 작전의 핵심은 마이크로소프트의 클릭원스(ClickOnce) 기술과 러너비콘(RunnerBeacon)이라는 강력한 Golang 기반 백도어를 악용하는 것입니다. 중국 위협 행위자와의 연관성을 시사하는 정황들이 있지만, 정확한 원인은 아직 불확실합니다.
목차
ClickOnce: 양날의 검 배포 도구
Microsoft의 ClickOnce는 Windows 애플리케이션의 배포 및 업데이트 프로세스를 간소화하여 최소한의 사용자 상호 작용으로 설치를 수행할 수 있도록 설계되었습니다. .NET Framework 2.0에 도입된 이 기능을 사용하면 관리자 권한 없이도 제한된 권한으로 앱을 실행할 수 있습니다.
안타깝게도 이러한 편의성은 ClickOnce를 사이버 범죄자들에게 귀중한 자산으로 만들었습니다. 악성 애플리케이션은 ClickOnce 앱을 처리하는 신뢰할 수 있는 Windows 바이너리(dfsvc.exe)를 통해 배포될 수 있습니다. 이러한 앱은 dfsvc.exe의 자식 프로세스로 실행되므로 공격자는 보안 경보를 발생시키거나 권한을 상승시키지 않고도 은밀하게 악성 코드를 실행할 수 있습니다.
침투 전술: 피싱과 사기
공격 사슬은 피해자를 가짜 하드웨어 분석 사이트로 유인하는 정교하게 제작된 피싱 이메일로 시작됩니다. 피해자가 해당 사이트를 방문하면 악성 ClickOnce 애플리케이션이 dfsvc.exe를 통해 배포되고 실행됩니다.
이 로더는 AppDomainManager 삽입이라는 방법을 사용하여 메모리에 악성 코드를 삽입하여 암호화된 셸코드를 실행합니다. 최종 페이로드는 정교한 Golang 백도어인 RunnerBeacon입니다.
RunnerBeacon: 강력하고 다재다능한 임플란트
RunnerBeacon 백도어는 다음을 포함한 광범위한 기능을 지원하도록 제작되었습니다.
- 다중 프로토콜을 통한 통신: HTTP(S), WebSockets, 원시 TCP 및 SMB 명명된 파이프
- 셸 명령 및 파일 시스템 작업 실행
- 프로세스 열거 및 종료
- 토큰 도용 및 사칭을 통한 권한 상승
- 네트워크 내의 측면 이동
또한 네트워크 중심 작업(포트 스캐닝, 포트 포워딩, SOCKS5 프록싱 등)에 대한 지원과 함께 고급 분석 방지 및 회피 기술도 제공합니다.
지콘의 복제품?
RunnerBeacon은 Geacon, Geacon Plus, Geacon Pro와 같은 Go 기반 Cobalt Strike 변형 버전과 매우 유사합니다. 명령 구조, 프로토콜 간 통신 기능, 운영 유연성을 모두 갖추고 있습니다. 이러한 특징은 RunnerBeacon이 Geacon의 맞춤형 또는 진화된 포크일 가능성을 시사하며, 클라우드 환경에 완벽하게 통합되도록 개선되었습니다.
진화하는 위협: 여러 변종 감지됨
사이버 보안 연구원들은 2025년 3월에만 세 가지의 OneClik 변종을 확인했습니다.
- v1a
- BPI-MDM
- v1d
각 버전에는 은밀성 강화 및 탐지 시스템 우회를 위한 개선 사항이 포함되어 있습니다. 그러나 RunnerBeacon의 흔적은 2023년 9월 중동 석유 및 가스 분야의 한 회사에서 이미 발견되었으며, 이는 개발 및 테스트가 진행 중임을 시사합니다.
기술 및 귀속: 익숙하지만 확인되지 않음
AppDomainManager 주입은 잘 문서화된 전술이며, 이전에 중국 및 북한 위협 세력과 관련된 사이버 공격에서 관찰된 바 있습니다. 그러나 기법과 접근 방식의 유사성에도 불구하고, 연구자들은 OneClik 캠페인을 알려진 어떤 조직의 소행으로 단정 지을 수 없었습니다.
침해 징후를 파악하기 위해 조직은 수신자를 사기성 하드웨어 분석 웹사이트로 유도하는 피싱 이메일에 주의해야 합니다. 이러한 웹사이트는 공격의 초기 진입점이 되는 경우가 많기 때문입니다. 또 다른 위험 신호는 dfsvc.exe 프로세스를 통해 실행되는 ClickOnce 애플리케이션 사용으로, 이는 악성 페이로드의 존재를 나타낼 수 있습니다. AppDomainManager 주입 기법의 의심스러운 배포와 Amazon Web Services(AWS)에 호스팅된 공격자 제어 인프라로의 아웃바운드 연결 또한 침해의 강력한 징후입니다.
이러한 위협으로부터 기업을 보호하기 위해, 특히 고위험 환경에서는 ClickOnce 배포를 비활성화하거나 면밀히 모니터링하는 것을 고려해야 합니다. 보안 팀은 dfsvc.exe에서 발생하는 비정상적인 자식 프로세스를 감시해야 하며, 이는 악의적인 활동의 신호일 수 있습니다. 엔드포인트 탐지 및 대응(EDR) 솔루션을 구축하면 AppDomain 주입 행위를 식별하고 완화하는 데 도움이 될 수 있습니다. 또한, 예상치 못한 프록시 동작이나 포트 포워딩 시도와 같은 비정상적인 프로토콜 사용을 확인하기 위해 네트워크 트래픽을 검사하면 은밀한 통신 채널을 탐지하는 데 도움이 될 수 있습니다.
결론
OneClik 캠페인은 적대 세력이 합법적인 기술을 악용하기 위해 끊임없이 전략을 개선하고 있음을 보여줍니다. 중요 인프라 부문의 조직은 이러한 지능형 위협의 영향을 완화하기 위해 경계 태세를 유지하고 다층적인 보안 방어 체계를 구축하는 것이 필수적입니다.
