윈도우 서버를 노리는 러시아산 Prometei 봇넷 변종

 

0. 용어정리

프로메테이(Prometei, Прометей)

러시아어로 프로메테우스를 읽으면 프로메테이가 되는데다가, 악성코드의 코드 안에는 러시아어 설정이 포함되어 있고, 러시아나 구소련 국가(CIS)의 PC는 공격 대상에서 제외하도록 설계되어 있다. 러시아계 해커 집단이 만든 것으로 추측할 수 있다.

 

원격 데스크톱 프로토콜(RDP)

마이크로소프트 개발

네트워크 연결을 통해 다른 컴퓨터의 GUI 제공

TCP 3389번 포트(기본)

작동 방식: 클라이언트(내 컴퓨터)가 서버(원격 컴퓨터)에 접속하면, 서버는 화면 이미지를 전송하고 클라이언트는 마우스 클릭이나 키보드 입력을 다시 서버로 전송

장점: 어디서든 업무 가능, 서버 관리 용이, 윈도우 기본 내장(설치 불필요)

단점: 인터넷에 노출될 경우 해킹 표적이 됨, 대역폭이 낮으면 화면 끊김

공격가능성: 

- 브루트포스

- BlueKeep과 같은 자체 버그로 비밀번호 없이 침투

- 프로메테이는 인터넷을 돌아다니며 RDP 포트가 열려 있고 보안이 취약한 윈도우 서버를 찾아내서 자가 복제

RDP 원격접속을 안전하게 사용하는 법:

- 강력한 비밀번호(당연)

- MFA 사용

- VPN 사용해서 인터넷에 바로 RDP가 노출되지 않도록 하기

- 포트 번호를 바꿔서 자동 스캔 방지 

 

질투심 많은 세입자(Jealous Tenant)

CPU 등 한정된 자원을 독점하기 위해 나중에 침입하는 해커를 직접 방화벽으로 차단하는 봇넷의 패턴

 

UPX(Ultimate Packer for eXecutables)

실행 파일 압축기

프로그램의 크기를 줄이면서도 별도의 압축 해제 프로그램 없이 실행하는 즉시 메모리에서 스스로 압축을 풀고 작동

정적 분석 회피 가능(메모리 상에서만 정체가 드러남)

 

DGA(Domain Generation Algorithm)

공격자가 수사 기관의 차단을 피하기 위해 사용하는 도메인 자동 생성 주소록

매일, 매 시간 등 일정한 시간에 알고리즘으로 수천 개의 서로 다른 도메인을 무작위로 생성 가능

보안 장비가 특정 유해 사이트를 차단하면 도메인을 바로 바꿔서 통신을 유지함

프로메테이가 매일 통신 주소를 바꿀 수 있게 한 기술

 

C2 서버(Command and Control Server)

봇넷에 가입된 수많은 좀비 PC들을 원격으로 조종하는 서버

대상에게 암호화폐 채굴을 명령하거나 시스템 정보, 비밀번호 수집을 할 수 있다

악성코드의 새로운 업데이트 버전을 배포할 수 있다

프로메테이는 명령어를 서버에서 받아서 암호화폐를 채굴하고 정보를 탈취

 

1. 대응 방안 및 예방 수칙 (Action Items)

 

- MFA, 복잡한 비밀번호

- 무차별대입 방어: 불필요한 원격 서비스 비활성화, 계정 잠금 정책

- 도구 실행 제한: AppLocker, WDAC를 사용해 LOLBins 악용 방지, 신뢰할 수 없는 스크립트 실행 차단

- 보안 장비 업데이트: 맞춤형 서명이 포함된 AV, EDR 배포 및 방화벽 규칙 확인

2. 나의 생각(Author's Insight)

- 취약한 비밀번호나 기본 설정값은 항상 모두의 타겟이 되는 것 같다.

- LemonDuck 봇넷처럼 다른 해커의 접근을 막는 Jealous Tenant의 공격 방식과 유사하다는데, 감염된 시스템을 본인들만의 독점 자원으로 만들어 채굴 이익을 극대화하려는 거 보면 욕심을 위한 인간의 창의력은 정말 끝이 없어 보인다. 

3. 공격 시나리오 재구성 (How it Works)

"도둑이 열린 창문으로 들어와 집주인 행세를 하며 다른 도둑이 못 들어오게 문을 잠그고 지하실에서 몰래 비트코인 채굴"

 

공격 단계:

1. 침투: 보안이 취약한 RDP 자격 증명을 탈취해서 시스템에 로그인

2. 은폐 및 장악: cmd.exe와 PowerShell을 이용해 XOR 암호화된 페이로드를 실행, UPlugPlay라는 이름의 정상 서비스인 척 등록

3. 방어 무력화: 윈도우 디펜더에서 특정 경로를 제외하거나 방화벽 규칙을 수정해 자신들의 통신로를 확보

4. 확산 및 수익화: Mimikatz로 추가 비밀번호를 훔쳐 확산, 모네로(Monero) 채굴기로 수익

 

주요 특징:

- 모듈형 구조: 7-zip 아카이브를 사용해 기능을 독립적으로 업데이트

- 통신망: 일반 웹(HTTP)은 물론 토르(Tor) 네트워크를 사용해 위치 은폐\

 

이번 뉴스 포인트:

 

- 윈도우에서 리눅스로 Cross-platform

주로 윈도우 서버가 대상이었는데 리눅스용 64비트 파일을 배포하는 중

단순히 OS만 바뀌기보다 파일 이름을 HTTP, GT, KF처럼 리눅스 시스템 관리자가 지나치기 쉬운 평범한 프로세스 명으로 위장(화이트리스트로 오인 가능성)

- 메모리 언팩

UPX로 1차 압축

동적 분석이 어려워지게 파일을 실행하기 전까지는 공겨 파일인지 알 수 없음

실행되는 순간 메모리 상에서만 전체 코드가 풀리도록 설계

- 커스텀 설정 트레일러

파일의 맨뒤에 JSON 형식의 설정값 은닉

공격자가 매번 악성코드를 만들 필요 없이 이 설정값만 변경해 암호화 키, 타겟포트, C2 서버 주소를 즉석에서 변경 가능

분석하는 사람 입장에서는 오버레이 오프셋을 직접 계산해서 번거롭게 풀어내야함

4. 관련 지표 및 자료 (References & Metrics)

SOC Prime BIAS: 중간(Medium), 2026년 2월 기준

- 즉각적 파괴력 낮음: 랜섬웨어처럼 파일을 다 잠가버리거나 시스템을 바로 파괴하는 'Critical(위험)' 단계까지는 아님

- 지속적인 피해 가능성: 지속적으로 자원을 몰래 사용해 채굴하거나 정보를 빼돌릴 수 있음

- 대응 필요성: 회사의 시스템을 바로 망가뜨리지는 않지만 오늘 내로 확인해서 방어 규칙을 적용해야함.

 

 

 

사용된 취약점

 

최신 제로데이가 아니라 패치 안된 구형 서버를 노림

1. SMB 관련 초기 침투 및 내부 확산

- CVE-2017-0144 (EternalBlue): 윈도우 SMBv1 취약점

- CVE-2020-0796 (SMBGhost): 윈도우 10 및 서버 버전의 SMBv3 취약점. 원격에서 코드를 실행

 

 

2. 원격 데스크톱 및 서버 장악(RDP/Exchange)

- CVE-2019-0708 (BlueKeep): RDP 취약점. 비밀번호 없이도 침투 가능

- CVE-2021-26855 & CVE-2021-27065 (ProxyLogon): 마이크로소프트 익스체인지(Exchange) 서버 취약점. 

 

 

 

3. 특정 CVE 보다는 취약점들을 모듈 형태로 갈아 끼우며 작동하는 중

5. 체크리스트 (Self-Check List)

[ ] 모든 관리자 계정에 MFA가 적용되어 있는가?

[ ] 외부에서 접속 가능한 RDP 포트가 열려 있지는 않은가?

[ ] 윈도우 서비스 목록 중 'UPlugPlay' 같은 의심스러운 이름이 있는가?

[ ] 방화벽 규칙에 본인이 허용하지 않은 인바운드 규칙이 추가되어 있는가?

[ ] 최근 서버의 CPU 사용률이 이유 없이 치솟은 적이 있는가?

 

 

 

https://www.boannews.com/media/view.asp?idx=142236

https://socprime.com/ko/active-threats/%EC%A7%80%EC%98%A5%EC%9D%98-%EC%84%B8%EC%9E%85%EC%9E%90-%ED%94%84%EB%A1%9C%EB%A9%94%ED%85%8C%EC%9D%B4%EC%9D%98-%EB%AC%B4%EB%8B%A8-%EC%B2%B4%EB%A5%98-%EB%8B%B9%EC%8B%A0%EC%9D%98-%EC%9C%88%EB%8F%84/

https://www.youtube.com/watch?v=tEsdaQirO38

 

 

https://www.youtube.com/watch?v=tEsdaQirO38