banner
뉴스 센터
업계 동향을 최신 상태로 유지하기 위해 기술과 품질을 지속적으로 향상시킵니다.

새로운 RDSealer 악성 코드는 원격 데스크톱을 통해 공유된 드라이브에서 훔칩니다.

Mar 29, 2024

'RedClouds'로 추적되는 사이버 스파이 및 해킹 캠페인은 맞춤형 'RDStealer' 악성 코드를 사용하여 원격 데스크톱 연결을 통해 공유되는 드라이브에서 자동으로 데이터를 훔칩니다.

이 악성 캠페인은 Bitdefender Labs에 의해 발견되었으며, 연구원들은 2022년부터 해커가 동아시아의 시스템을 표적으로 삼는 것을 목격했습니다.

그들은 이 캠페인의 원인을 특정 위협 행위자의 소행으로 돌릴 수는 없지만 위협 행위자의 이익이 중국과 일치하고 국가가 후원하는 APT 수준의 정교함을 가지고 있다고 언급합니다.

더욱이 Bitdefender는 특정 해커가 최소한 2020년부터 활동 흔적을 남겼으며 처음에는 기성 도구를 사용하고 2021년 말에는 맞춤형 악성 코드로 전환했다고 밝혔습니다.

RDP(원격 데스크톱 프로토콜)는 사용자가 Windows 데스크톱에 원격으로 연결하고 마치 컴퓨터 앞에 있는 것처럼 사용할 수 있도록 하는 독점적인 Microsoft 프로토콜입니다.

이 기능은 원격 작업, 기술 및 IT 지원, 시스템 관리, 서버 관리 등 다양한 작업에 매우 유용합니다.

인터넷에 노출된 RDP 서버는 기업 네트워크에 대한 발판을 제공하므로 가장 표적화된 온라인 서비스 중 하나입니다. 일단 액세스 권한을 얻으면 위협 행위자는 이 발판을 이용하여 데이터 도난 및 랜섬웨어 공격을 통해 기업 네트워크 전체에 측면으로 확산될 수 있습니다.

원격 데스크톱 프로토콜에는 '장치 리디렉션'이라는 기능이 포함되어 있습니다. 이를 통해 로컬 드라이브, 프린터, Windows 클립보드, 포트 및 기타 장치를 원격 호스트와 연결한 다음 원격 데스크톱 세션에서 액세스할 수 있습니다.

이러한 공유 리소스는 RDP 연결의 드라이브 문자에 매핑될 수 있는 특수 '\\tsclient'(터미널 서버 클라이언트) 네트워크 공유를 통해 액세스됩니다.

예를 들어 로컬 C:\ 드라이브가 장치 리디렉션을 통해 공유된 경우 RDP 세션에서 '\\tsclient\c' 공유로 액세스할 수 있으며, 그런 다음 원격 Windows 데스크톱에서 로컬로 저장된 파일에 액세스하는 데 사용할 수 있습니다. .

위협 행위자는 이 장치 리디렉션 기능을 활용하는 사용자 지정 RDSealer 악성 코드로 원격 데스크톱 서버를 감염시킵니다. 이는 RDP 연결을 모니터링하고 로컬 드라이브가 RDP 서버에 연결되면 자동으로 데이터를 훔치는 방식으로 수행됩니다.

RDSealer를 구성하는 5개의 모듈은 키로거, 지속성 설정기, 데이터 도난 및 유출 준비 모듈, 클립보드 콘텐츠 캡처 도구, 암호화/암호 해독 기능 제어, 로깅 및 파일 조작 유틸리티입니다.

활성화되면 RDSealer는 \\tsclient 네트워크 공유에서 C, D, E, F, G 또는 H 드라이브의 가용성을 확인하는 "diskMounted" 기능을 호출하는 무한 루프에 들어갑니다. 발견되면 C2 서버에 알리고 연결된 RDP 클라이언트에서 데이터 추출을 시작합니다.

악성코드가 C:\ 드라이브에 열거하는 위치와 파일 이름 확장자에는 KeePass 비밀번호 데이터베이스, SSH 개인 키, Bitvise SSH 클라이언트, MobaXterm, mRemoteNG 연결 등이 포함되어 있어 공격자가 자격 증명을 노리고 있음을 분명히 알 수 있습니다. 측면 이동에 사용됩니다.

다른 모든 드라이브에서 RDSealer는 귀중한 데이터를 호스팅할 가능성이 없는 일부 예외를 제외하고 모든 것을 검사합니다.

Bitdefender는 원격 데스크톱 서버가 처음에 어떻게 감염되는지에 대한 통찰력이 부족하지만 악성 코드가 다음 폴더에 저장되어 있음을 발견했습니다.

BitDefender는 "회피 전술의 일환으로 위협 행위자는 악성 코드가 포함된 것으로 의심되지 않고 종종 보안 솔루션의 검색에서 제외되는 폴더를 사용했습니다."라고 설명합니다.

손상된 장치에서 도난당한 모든 데이터는 공격자의 서버로 전송될 때까지 "C:\users\public\log.log" 파일에 암호화된 문자열로 로컬로 저장됩니다.

RDSealer 실행의 마지막 단계는 두 개의 DLL 파일, 즉 Logutil 백도어("bithostw.dll")와 해당 로더("ncobjapi.dll")를 활성화하는 것입니다.