S2W 위협인텔리전스센터 Talon에서 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플을 VirusTotal에서 헌팅하여 'Troll Stealer'로 명명하고, 'Troll Stealer'의 주요 기능, Kimsuky 그룹과의 연관성, 공격대상 등을 자세히 분석한 보고서를 발행하였습니다.
[보고서 제목]
Kimsuky disguised as a Korean company signed with a valid certificate to distribute Troll Stealer
[보고서 내용]
- 2024년 1월 10일, S2W의 위협 연구 및 인텔리전스 센터 Talon은 Kimsuky 그룹의 새로운 악성코드로 추정되는 샘플을 VirusTotal에서 헌팅하여 분석을 진행
- 헌팅된 악성코드는 감염된 시스템의 정보를 탈취하는 Go언어로 작성된 정보 탈취형 악성코드로, SGA Solutions의 보안 프로그램 설치 파일(TrustPKI, NX_PRNMAN)로 위장한 Dropper로 부터 드랍 및 실행됨
- Dropper 실행 시 악성코드와 함께 정상 설치 파일로 함께 실행되며, 악성코드와 정상 설치파일 모두 유효한 정상 “D2innovation Co.,LTD” 인증서로 서명되었다는 점에서 실제 해당 기업의 인증서가 탈취되었을 가능성이 존재
- S2W Talon은 악성코드 내에 “D:/~/repo/golang/src/root.go/s/troll/agent” 라는 경로명이 포함되어 있다는 점에서 해당 악성코드를 “Troll Stealer” 로 명명
[주요 기능]
Troll Stealer는 감염된 시스템의 정보(SSH, FileZilla, C 드라이브 파일/디렉토리, 브라우저, 시스템 정보, 화면 캡쳐)를 탈취 후 C&C 서버로 전송하는 기능이 존재
[Kimsuky 그룹과의 연관성]
Kimsuky 그룹이 최근 Go언어 기반의 악성코드를 활발히 사용하고 있다는 점과, Troll Stealer에 기존 Kimsuky 그룹과 연결된 AppleSeed 및 AlphaSeed 악성코드와 유사한 코드가 다수 사용되었다는 점을 근거로 들어 Kimsuky 그룹이 해당 악성코드를 유포한 배후에 있을 것으로 추측
[공격 대상]
Troll Stealer는 감염된 시스템 상의 GPKI 폴더를 탈취하는 기능을 포함하고 있으며, 이러한 점에서 이번 공격 캠페인이 국내 행정 및 공공 기관내 장치를 대상으로 진행되었을 것으로 추정됨
[보고서 작성자]
BLKSMTH (위협분석팀) | S2W Talon