(이스트시큐리티의 25년 10월 보안동향보고서 중 최신 보안 동향 파트를 정리하였습니다.)
들어가기 전 용어 설명
RAT란?
원격 엑세스 트로이목마를 말합니다!
중국어 이력서를 위장한 LNK 파일이 발견되었고, 이 LNK파일은 李汉彬.lnk로 유포되며, 실행 후에는 c2 서버에서 我的简历.pdf 디코이 파일을 내려받아 실행한다.
*c2서버 : Command & Control의 약자로, 악성코드에 감염된 PC나 서버를 대상으로 공격자가 원하는 행위를 수행하도록 명령을 하달하는 서버를 의미함. 그리고 c2서버는 명령 및 제어, 공격자가 초기 침투에 성공한 장치와의 통신을 유지하는데 사용하는 도구및 기술의 집합임.
*디코이 : 미끼!
*디코이 파일 : 랜섬웨어의 감염을 막기 위해 사용하는 미끼 파일.
我的简历를 번역하면 "내 이력서"라는 뜻으로, pdf를 열면 위장용 이력서를 확인할 수 있다.
그러나 이력서를 열면 백그라운드에서 많은 변화가 일어나게 되는데, 함께 살펴보자.
먼저 %APPDATA% 경로에 Security 디렉토리를 생성하고, C2서버에서 ZIP파일을 pkg.zip 이름으로 다운받아 해당 디렉토리에 저장하고, zip파일의 압축을 해제해서 keytool.exe파일과 CreateHiddenTask.vbs파일을 실행함.
*vbs파일 : 마이크로소프트가 만든 스크립트 언어이지만, 시스템의 이곳저곳을 조작할 수 있다는 점 때문에 수많은 바이러스가 VBScript로 만들어져서 바이러스 언어로 취급받는 중이다.
CreateHiddenTask.vbs파일은 작업 스케쥴러에 작업을 등록하는 역할을 하고, 등록이 완료되면 현재 실행중인 VBS 파일을 삭제해 흔적을 지운다.
그리고 함께 압축 해제했던 keytool.exe는 악성파일을 위장할 때 사용되며, 실행할 경우 폴더 안에 있는 악성 jli.dll파일이 사이드 로딩되며 keytool.exe 파일 내부에 저장되어 있는 쉘코드를 복호화 하고 실행한다.
keytool.exe와 jli.dll이 자바 설치하면 생성되는 파일이래여.
쉘코드는 실행 후 공격자가 미리 지정해 놓은 C2 서버에 접속을 시도하며, 정상적으로 연결이 완료되면 추가 페이지 로드 및 악성코드를 수신하는데, 최종 페이로드는 RAT로 확인되었습니다.
이게 보고서의 마지막 줄인데.. 이해가 전혀 안되서 제미나이한테 물어봤습니다.
아 그러니까 쉘코드가 앞에서 백그라운드에서 진행했던 그런 애들이고, 이런 일을 해놓은 최종 목표가 최종 페이로드를 실행하기 위함인데, 그 최종 목표가 RAT이라는 것 같아요.
궁금한 점
1. 왜 중국어로 된 이력서를 열어보죠? 중국에서 발생한 사건인가요. 아니 중국이라도 왜 피해자가 열어봐야하는 파일이 '내 이력서'파일이죠. 회사가 목표였나요...
2. 그래서 이 사건은 어떤 피해를 발생시켰나요이스트시큐리티의 25년 10월 보안동향보고서 중 최신 보안 동향 파트를 정리하였습니다.)
들어가기 전 용어 설명
RAT란?
원격 엑세스 트로이목마를 말합니다!
중국어 이력서를 위장한 LNK 파일이 발견되었고, 이 LNK파일은 李汉彬.lnk로 유포되며, 실행 후에는 c2 서버에서 我的简历.pdf 디코이 파일을 내려받아 실행한다.
*c2서버 : Command & Control의 약자로, 악성코드에 감염된 PC나 서버를 대상으로 공격자가 원하는 행위를 수행하도록 명령을 하달하는 서버를 의미함. 그리고 c2서버는 명령 및 제어, 공격자가 초기 침투에 성공한 장치와의 통신을 유지하는데 사용하는 도구및 기술의 집합임.
*디코이 : 미끼!
*디코이 파일 : 랜섬웨어의 감염을 막기 위해 사용하는 미끼 파일.
我的简历를 번역하면 "내 이력서"라는 뜻으로, pdf를 열면 위장용 이력서를 확인할 수 있다.
그러나 이력서를 열면 백그라운드에서 많은 변화가 일어나게 되는데, 함께 살펴보자.
먼저 %APPDATA% 경로에 Security 디렉토리를 생성하고, C2서버에서 ZIP파일을 pkg.zip 이름으로 다운받아 해당 디렉토리에 저장하고, zip파일의 압축을 해제해서 keytool.exe파일과 CreateHiddenTask.vbs파일을 실행함.
*vbs파일 : 마이크로소프트가 만든 스크립트 언어이지만, 시스템의 이곳저곳을 조작할 수 있다는 점 때문에 수많은 바이러스가 VBScript로 만들어져서 바이러스 언어로 취급받는 중이다.
CreateHiddenTask.vbs파일은 작업 스케쥴러에 작업을 등록하는 역할을 하고, 등록이 완료되면 현재 실행중인 VBS 파일을 삭제해 흔적을 지운다.
그리고 함께 압축 해제했던 keytool.exe는 악성파일을 위장할 때 사용되며, 실행할 경우 폴더 안에 있는 악성 jli.dll파일이 사이드 로딩되며 keytool.exe 파일 내부에 저장되어 있는 쉘코드를 복호화 하고 실행한다.
keytool.exe와 jli.dll이 자바 설치하면 생성되는 파일이래여.
쉘코드는 실행 후 공격자가 미리 지정해 놓은 C2 서버에 접속을 시도하며, 정상적으로 연결이 완료되면 추가 페이지 로드 및 악성코드를 수신하는데, 최종 페이로드는 RAT로 확인되었습니다.
이게 보고서의 마지막 줄인데.. 이해가 전혀 안되서 제미나이한테 물어봤습니다.
아 그러니까 쉘코드가 앞에서 백그라운드에서 진행했던 그런 애들이고, 이런 일을 해놓은 최종 목표가 최종 페이로드를 실행하기 위함인데, 그 최종 목표가 RAT이라는 것 같아요.
'SWUFORCE > 기술스터디' 카테고리의 다른 글
| CVE-2025-14847(Mongobleed) 분석 (0) | 2026.01.27 |
|---|---|
| 3개의 해킹 그룹 성향 정리 (0) | 2026.01.13 |
| 모방과 창조의 경계에 선 오픈AI '지브리 스타일' (0) | 2025.11.18 |
| 더 이상의 해킹은 불가능하다, '양자암호' (0) | 2025.11.03 |
| 핵심 트렌드로 본 디지털 포렌식과 사고 대응 (0) | 2025.10.27 |