SOC Prime Bias: Critical

30 Jun 2026 06:48 UTC

KimJongRAT, 신뢰할 수 있는 사이트를 활용하여 계속 진화하다

Author Photo
SOC Prime Team linkedin icon 팔로우
KimJongRAT, 신뢰할 수 있는 사이트를 활용하여 계속 진화하다
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

요약

최근 KimJongRAT 캠페인은 GitHub Releases 및 Google Drive를 신뢰할 수 있는 플랫폼으로 사용하여 맬웨어를 배포하고 전송하는 것으로 관찰되었습니다. 이 업데이트된 변형은 InfoStealer 및 RAT 기능을 혼합하여 LOTS (Living Off Trusted Sites) 기술에 의존하여 탐지 가능성을 낮추고자 합니다. 또한 Google Drive에서 동적으로 명령 및 제어 주소를 검색하여, 반복적인 재컴파일이 필요하지 않도록 진화하였습니다.

조사

조사에서는 피해자들이 GitHub에 호스팅된 ZIP 아카이브로 단축 링크를 통해 리다이렉트된 2026년 5월 캠페인을 검토했습니다. 연구원들은 실행 체인을 매핑하여 다음과 같은 남용을 포함하였습니다. mshta.exe, VBScript 및 PowerShell을 사용하여 다단계 페이로드를 실행합니다. 분석에서는 또한 장기적 원격 액세스를 위한 MeshAgent 배포와 관련된 새로운 기능을 발견했습니다.

완화

조직은 LNK 파일의 실행에 대한 엄격한 통제를 시행해야 하며, mshta.exe 신뢰할 수 없는 위치에서 출처일 경우 더욱더. Base64로 인코딩된 명령 및 Google Drive 및 GitHub 등 클라우드 서비스로부터의 다운로드를 포함하여 의심스러운 PowerShell 행동을 모니터링하는 것이 필수적입니다. MeshAgent와 같은 승인되지 않은 원격 관리 도구를 제한하면 침해의 영향을 더욱 제한할 수 있습니다.

대응

이 활동이 감지되면 횡방향 이동 및 데이터 유출을 방지하기 위해 영향을 받은 호스트를 즉시 격리하십시오. 메모리 포렌식을 실시하여 활성 맬웨어 DLL 또는 PowerShell 구성 요소를 식별하십시오. Google Drive 및 GitHub 액세스 로그를 검토하여 식별된 인프라와 연결된 비정상 활동을 확인하고, 추출된 침해 징후로 엔드포인트 탐지를 업데이트하십시오.

"flowchart TD step_initial_access["T1566.001 & T1566.002 u2013 피싱: 스피어피싱 첨부/링크: 단축 URL을 통해 GitHub에서 tax_edoc.zip 다운로드"] step_user_execution["T1204.002 – 사용자 실행: 악성 파일: 피해자가 압축 해제한 ZIP에서 악성 LNK 파일을 엽니다"] rules_for_user_execution("<b>규칙 이름</b>: ZIP 아카이브 [7zip]에서 실행 (via process_creation)<br/><b>규칙 ID</b>: 43917da8-4e9a-4cd2-b3f9-dc60e2326534") step_proxy_execution["T1218.005 – 시스템 이진 프록시 실행: Mshta: GitHub에서 pdfko.zip 다운로드 및 실행”] step_script_execution["T1218.001 및 T1216.002 – 시스템 이진/스크립트 프록시 실행: HTA에서의 난독화된 VBScript가 HTML 파일 및 SyncAppvPublishingServer를 사용함"] step_decoy_steganography["T1027.003 – 난독화된 파일 또는 정보: 스테가노그래피: 사용자를 우회시키기 위해 바람막이 문서를 다운로드함"] step_branching{"환경 검사: Windows Defender가 활성화되었는지 결정함"} step_defender_inactive["T1027 및 T1218.011 – 난독화된 파일 및 Rundll32: AES/RC4를 통해 암호화된 user.txt/sys.log 다운로드 및 sys.dll 실행함"] step_defender_active["T1027.006 – 난독화된 파일 또는 정보: HTML 밀수를 통해 PowerShell 1.ps1 실행하고 KimJongRAT을 디코딩함"] step_persistence_c2["T1219 및 T1568 및 T1578 – 지속성 및 C2: MeshAgent를 설치하고 Google Drive를 통해 동적 해상도를 사용하여 C2 주소를 업데이트함"] step_initial_access –>|선도| step_user_execution step_user_execution –>|선도| step_proxy_execution step_user_execution -.->|탐지됨| rules_for_user_execution step_proxy_execution –>|선도| step_script_execution step_script_execution –>|선도| step_decoy_steganography step_decoy_steganography –>|선도| step_branching step_branching –>|비활성일 경우| step_defender_inactive step_branching –>|활성일 경우| step_defender_active step_defender_inactive –>|선도| step_persistence_c2 step_defender_active –>|선도| step_persistence_c2 "

공격 흐름

시뮬레이션 실행

전제조건: 텔레메트리 및 기준 사전 비행 검사가 통과해야 합니다.

이유: 이 섹션은 탐지 규칙을 트리거하기 위해 설계된 적의 기술 (TTP)의 정확한 실행을 자세히 설명합니다. 명령 및 내러티브는 식별된 TTP를 직접 반영하고 탐지 논리에서 예상되는 정확한 텔레메트리를 생성해야 합니다. 추상적이거나 관련이 없는 예제는 오진으로 이어질 것입니다.

  • 공격 내러티브 및 명령: 적은 성공적으로 발판을 마련하였으며 KimJongRAT 페이로드를 실행하려고 시도합니다. 단순한 서명 기반 탐지를 피하기 위해 맬웨어는 실행 정책을 우회하는 숨김 창에서 PowerShell 스크립트를 실행하도록 설계되었으며, 암호화된 설정을 처리하기 위한 특정 로그 파일 이름을 매개변수로 전달합니다. 목표는 피해자 컴퓨터에서 지속적이고 은밀한 원격 액세스 트로이 목마 (RAT)를 확립하는 것입니다. 탐지 규칙에서 식별된 명령 패턴을 정확히 실행하여 “selection_execute” 논리를 검증할 것입니다.

  • 회귀 테스트 스크립트:

    # KimJongRAT 실행 패턴의 시뮬레이션
    # 이 스크립트는 '-File' 요구사항을 만족시키기 위해 생성됩니다
    "Write-Output 'Simulating KimJongRAT Payload'" | Out-File -FilePath "1.ps1" -Encoding ascii
    
    # 탐지 규칙을 트리거하는 명령 실행
    # 유의사항: 명령 줄 인수를 정확하게 모방하는 방식으로 실행됩니다.
    Start-Process powershell.exe -ArgumentList "-ExecutionPolicy Bypass -WindowStyle Hidden -NoProfile -File 1.ps1 -FileName 1.log" -WindowStyle Hidden
  • 정리 명령:

    # 시뮬레이션 중 생성된 더미 파일 삭제
    Remove-Item -Path "1.ps1" -ErrorAction SilentlyContinue
    Remove-Item -Path "1.log" -ErrorAction SilentlyContinue