Rhadamanthys Infostealer, Microsoft Management Console 이용한 악성코드 유포

Rhadamanthys Infostealer Uses Microsoft Management Console to Spread Malware

Rhadamanthys Infostealer Uses Microsoft Management Console to Spread Malware

 

• 개요
  • Rhadamanthys Infostealer 악성코드가 Microsoft Management Console(MMC)을 통해 유포
  • MSC 파일 형식을 악용하여 악성 스크립트 및 명령어 실행
  • 정상 도구를 악용한 공격 기법으로 탐지 회피와 사용자 기만에 주력
• 악성코드 유포 방식
  • 방법 1: apds.dll 취약점(CVE-2024-43572) 악용
    • apds.dll의 redirect.html 리소스를 이용해 악성 코드 실행
    • MSC 파일에 res://apds.dll/redirect.html?target=javascript:eval(…) 구문 삽입
    • MMC를 우회하여 임의 명령어 실행 가능
    • 해당 취약점은 패치되었으나, 구버전 소프트웨어 사용 시 여전히 위험 존재
  • 방법 2: Console Taskpad 기능 이용
    • 태그 내에 명령어 삽입하여 정상 기능을 악용
    • 취약점 악용이 아닌, MMC의 합법적 기능을 활용해 악성 코드 실행
    • 공격자는 MSC 파일을 MS Word 문서 등으로 위장하여 사용자 클릭 유도
    • 실행 시 외부 서버에서 PowerShell 스크립트 다운로드 및 Rhadamanthys Infostealer 실행
• Rhadamanthys Infostealer 특징
  • 민감 정보 탈취 기능
    • 웹 브라우저(Chrome, Edge, Firefox) 저장 계정 정보 및 쿠키 탈취
    • 클립보드 내용, 시스템 정보 및 암호화폐 지갑 정보 수집
  • 지속성 유지 메커니즘
    • 사용자 시스템에 자동 실행 스크립트 설치
    • 재부팅 시에도 악성 코드가 지속적으로 활성화
  • C2 서버 통신
    • 탈취된 정보를 공격자 제어 서버(C2)로 전송
    • PowerShell 및 HTTP 요청으로 탐지 회피
• 보안 권고
  • 소프트웨어 최신 보안 패치 적용
    • CVE-2024-43572 등 패치된 취약점 미적용 시 즉시 업데이트 필요
  • 의심스러운 MSC 파일 실행 금지
    • 출처 불분명한 MSC 파일 열람 금지 및 사용자 경각심 제고
    • 정상 문서로 위장한 첨부 파일 주의
  • 방화벽 및 탐지 시스템 강화
    • PowerShell 비정상 활동 모니터링
    • 외부 서버와의 의심스러운 통신 차단
  • 사용자 교육 및 인식 제고
    • 피싱 공격 사례 및 위험 파일 유형에 대한 정기 교육
    • 이메일 첨부파일 및 URL 클릭 전 검증 절차 강화
• 결론
  • Rhadamanthys Infostealer는 합법적 도구를 악용하여 사용자 및 보안 솔루션 탐지를 회피
  • 취약점 패치가 진행되었음에도 정상 기능을 활용한 공격 기법은 여전히 위협적
  • 방어 체계 강화, 사용자 교육 및 탐지 솔루션 업데이트를 통한 다계층 보안 접근법 필요