Kant's IT/Issue on IT&Security

Gamaredon 그룹의 우크라이나 대상 Remcos RAT 배포 캠페인 분석

Kant Jo 2025. 5. 10. 22:42

Russia-linked Gamaredon targets Ukraine with Remcos RAT

Gamaredon Hackers Weaponize LNK Files to Deliver Remcos backdoor

Gamaredon campaign abuses LNK files to distribute Remcos backdoor

  • 공격 개요

    • 러시아 연계 APT 그룹 Gamaredon은 2014년부터 우크라이나 정부 및 관련 기관을 대상으로 지속적인 사이버첩보 활동을 수행
    • 2024년 11월부터 LNK 기반 피싱 캠페인을 통해 Remcos RAT을 배포하는 활동이 확인됨
    • 공격자는 우크라이나-러시아 전쟁과 관련된 주제를 활용한 문서로 위장하여 악성 ZIP 파일 또는 링크를 전송

  • 감염 체인 구조

    • 1단계: LNK 파일 실행
      • ZIP 압축 파일 내 LNK 파일 실행 시 PowerShell 다운로드 코드가 실행됨
      • PowerShell 스크립트는 Get-Command를 이용해 탐지를 우회하고 ZIP 페이로드를 다운로드
      • 다운로드 서버는 지리적 제한이 적용되어 우크라이나 지역만 응답
    • 2단계: ZIP 파일 다운로드 및 실행
      • ZIP 내에 정상 실행 파일과 악성 DLL이 포함됨
      • DLL 사이드로딩 기법을 이용하여 정상 프로세스를 통해 악성 DLL(mindclient.dll)을 실행
      • 악성 DLL은 ZIP 내 암호화된 파일에서 최종 Remcos RAT 페이로드를 복호화 후 실행
    • 3단계: Remcos RAT 동작
      • Explorer.exe에 인젝션되어 은밀하게 실행됨
      • C2 서버(예: 146.185.233.96:6856)와 통신하며 시스템 제어 및 정보 유출 수행

  • 주요 악성 요소

    • PowerShell 스크립트
      • Get-Command 사용으로 AV 탐지 우회
      • %TEMP% 경로에 ZIP을 저장하고 자동 실행
    • 사용된 정상 실행 파일 예시
      • TivoDiag.exe, palemoon.exe, Compil32.exe, AcroBroker.exe 등
      • 모두 DLL 사이드로딩에 악용됨
    • 악성 DLL: mindclient.dll
      • Remcos RAT의 최종 로더 역할
      • 파일 내 암호화된 페이로드를 복호화 후 실행

  • C2 인프라 및 지역 제한

    • 러시아 및 독일 기반의 호스팅 업체(GTHost, HyperHosting) 인프라 활용
    • HTTP 403 응답을 통해 비우크라이나 IP 요청을 차단
    • 일부 IP의 reverse DNS에 비정상 문자열 존재 → 관련 인프라 식별에 활용

  • 피싱 유인 문서 예시

    • 군사 작전 정보 또는 인명 관련 문서명 사용
      • “Coordinates of enemy takeoffs for 8 days”
      • “Positions of the enemy west and southwest”
      • “RYBAK Stanislav Viktorovich.docx.lnk” 등

  • 보안 권고

    • 이메일 필터링 및 ZIP 압축파일 포함 첨부파일 제한
    • LNK 확장자 파일 자동 실행 차단
    • PowerShell 실행 감시 및 Get-Command, Invoke-Expression 사용 탐지
    • DLL 사이드로딩 가능한 애플리케이션 목록 점검 및 제한
    • 역공학 가능한 샌드박스(Any.run 등) 분석을 통한 정적·동적 페이로드 추적
    • 지역 기반 탐지(GeoIP)로 우회 통신 탐지

  • 결론

    • Gamaredon 그룹은 Remcos RAT 배포를 위해 정교한 피싱, PowerShell 다운로드, DLL 사이드로딩 등 다단계 공격 체인을 구성
    • 탐지를 회피하기 위한 지리적 접근 제어, 정상 실행 파일 악용 등의 수법은 고도화된 사이버첩보 활동을 반영
    • 우크라이나와 같은 지정학적 분쟁 상황을 악용한 피싱 및 RAT 캠페인 확산 가능성이 높아, 정교한 보안 모니터링 및 위협 인텔리전스 통합이 필수적
저작자표시 비영리 변경금지 (새창열림)

'Kant's IT > Issue on IT&Security' 카테고리의 다른 글

Triton RAT의 Telegram 기반 원격 제어 및 정보 탈취 기법 분석  (0) 2025.05.10
Water Gamayun 그룹의 CVE-2025-26633 악용과 SilentPrism, DarkWisp 백도어 배포 분석  (4) 2025.05.10
2025년 3월 마지막 주 위협 인텔리전스 요약  (0) 2025.05.10
Lazarus 그룹의 분화: 단일 APT에서 다중 하위 그룹 체계로의 전환  (0) 2025.05.10
Konni RAT의 Windows 탐색기 취약점 악용 및 다단계 공격 분석  (0) 2025.05.10

'Kant's IT/Issue on IT&Security'의 다른글

  • 현재글Gamaredon 그룹의 우크라이나 대상 Remcos RAT 배포 캠페인 분석

관련글

티스토리툴바