국내 보안프로그램 악용하는 킴수키 ‘트롤에이전트’ 주의해야
[데이터넷] 지난달 악성봇 감염이 전 세계적으로 78% 증가한 것으로 나타났다. 클라우드 SIEM 전문기업 로그프레소(대표 양봉열)의 ‘2024년 3월 CTI 월간 리포트’에 따른 것으로, 2월은 다른 달 보다 짧으며, 연말연시 특수가 없었음에도 불구하고 1월보다 악성봇 감염이 큰 폭으로 증가했다는 점에서 각별한 주의가 요구된다.
로그프레소는 악성봇 감염으로 인한 이커머스 서비스의 크리덴셜 유출이 크게 증가하고 있다고 설명하며, 사용자는 서비스별로 암호를 다루게 설정하거나 2차인증을 사용해 계정 보안을 강화해야 한다고 강조했다.
우리나라의 경우, 악성봇 감염은 큰 차이가 없었지만, 우리나라에서 여행지로 선호하는 필리핀, 베트남, 태국, 인도네시아, 말레이시아 등에서 크리덴셜 유출이 다수 발생하기 때문에 각별히 주의해야 한다고 보고서는 강조했다. 특히 해외에서 출처를 알 수 없는 와이파이를 이용했을 대 개인정보가 유출될 수 있으므로 와이파이 이용에 신중을 기해야 한다.
유출된 크리덴셜 정보를 분석하면, 가장 많은 감염 IP가 발견된 국가가 브라질이다. 크리덴셜 유출 사고가 많이 일어난 남미와 아시아 국가 사례를 분석하면 KeyGen 계열의 불법 소프트웨어 라이선스 생성기로 인한 사고가 많아 정품 소프트웨어 사용이 매우 중요한 것으로 나타났다.
2월 한 달간 로그프레소가 탐지한 위협 IP 주소를 분석하면, 피싱 관련 IP 주소가 전월대비 19% 증가한 84%로 1위를 차지했다. 스미싱, 워터링홀, APT 공격 등에 사용되며, 개인과 기업 모두에게 빈번하게 발생하고 있다.
피싱에 이용된 URL 도메인을 기준으로 구분하면, 비트토렌트와 유사한 분산형 데이터 전송 프로토콜 IPFS 관련 도메인이 상위권에 있다. 우리나라에서는 네이버 사칭 사례가 꾸준히 발생하고 있으며, 북한 공격그룹 킴스키와 관련된 도메인도 상당하다.
방산업체 인증서 위장 '트롤에이전트' 주의
로그프레소는 이번 보고서에서 국산 보안 프로그램으로 위장한 악성코드 ‘트롤에이전트(TrollAgent)’를 분석하고, 이를 탐지할 수 있는 방법을 소개했다. 트롤에이전트는 국내 특정 홈페이지 로그인에 필요한 전자문서와 증명서 위변조 방지 프로그램으로 위장해 설치를 유도한다. 특히 국내 방산업체 인증서로 서명해 악성코드 탐지를 회피하고, 사용자들의 의심을 최소화했다.
킴수키 그룹에서 배포하는 트롤에이전트는 보안 프로그램 설치 파일 ‘TrustPKI’, ‘NX_PRNMAN’으로 위장하고 있으며, 악성코드 실행 시 다양한 정보를 수집해 C2 서버로 전송한다. GPKI 디렉토리를 탈취하는 기능을 포함하고 있어 국내 공공기관을 주 공격대상으로 삼고 있는 것을 확인할 수 있다.
로그프레소는 트롤에이전트와 변종을 탐지할 수 있는 YARA 룰을 배포해 악성코드 탐지와 차단을 지원하고 있다. YARA를 지원하는 장비 또는 XDR 계열의 장비를 도입해 사용하는 경우, 로그프레소가 배포한 규칙을 적용해 보안을 강화할 수 있다.
로그프레소는 누적 침해 지표(IoC) 2억 건 이상, 프라이버시 인텔리전스(PI) 780억 건 이상의 CTI 정보를 보유하고 있으며, 실시간으로 전 세계를 대상으로 보안 위협 정보를 수집하고 추적하고 있다. 수집한 정보를 SIEM, SOAR 플랫폼에서 즉각 활용하도록 지원한다.
