{
	"id": "e6323036-0b21-4321-886d-cb3fc9c32024",
	"created_at": "2026-04-06T00:14:36.074527Z",
	"updated_at": "2026-04-10T03:35:45.929661Z",
	"deleted_at": null,
	"sha1_hash": "c34e5adbdd90e451451042fd5d7210f6a27c7e13",
	"title": "국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 1808156,
	"plain_text": "국내 리눅스 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC\r\nBy ATCP\r\nPublished: 2023-07-03 · Archived: 2026-04-05 17:49:03 UTC\r\nRekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security\r\nEmergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고\r\n있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는\r\n공격에 사용된 Rekoobe 악성코드들을 함께 정리한다.\r\n1. 개요\r\nRekoobe은 리눅스 환경을 대상으로 하는 백도어 악성코드이다. 2015년에 최초로 확인되었으며, [1] 2018년에는 업\r\n데이트된 버전이 공격에 사용되고 있는 사례가 존재한다. [2] ELF 포맷의 Rekoobe은 아키텍처가 x86, x64 그리고\r\nSPARC인 것을 보아 주로 리눅스 서버를 공격 대상으로 하는 것으로 추정된다.\r\n깃허브에 공개되어 있는 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 것으로 알려진 Rekoobe은 Tiny라\r\n는 이름처럼 기본적인 기능을 지원한다. [3] 프로세스 이름 변경과 같은 보조적인 기능을 제외하면 C\u0026C 서버의 명\r\n령을 받아 다운로드, 업로드 그리고 명령 실행 3가지 기능이 전부이다. 오픈 소스를 기반으로 하기 때문에 유사한 유\r\n형들까지 대상으로 한다면 분류에 어려움이 있겠지만 여기에서는 일반적으로 알려진 Rekoobe 유형들을 분석한다.\r\n공격자가 어떤 방식으로 리눅스 시스템에 Rekoobe을 설치하는지 그리고 어떤 대상을 공격하는지에 대한 정보는 많\r\n지 않지만, Rekoobe는 중국의 공격 그룹인 APT31이 사용하는 악성코드로 알려져 있다. [4]\r\n일반적으로 리눅스 서버를 대상으로 하는 악성코드들은 부적절하게 관리되고 있는 서버나 최신 버전으로 업데이트\r\n하지 않아 취약한 서버를 대상으로 한다. 참고로 Rekoobe의 공격자가 다수의 리눅스 서버를 대상으로 스캐닝 및 브\r\n루트 포싱 공격을 통해 공격한 사례는 확인되고 있지 않다.\r\n이에 따라 취약한 계정 정보를 사용하고 있는 시스템들보다도 주로 최신 업데이트를 수행하지 않거나 부적절한 설\r\n정으로 서비스 중인 리눅스 서버가 공격 대상일 것으로 추정된다. 물론 유명 워드프레스 플러그인을 공격한 공격자\r\n가 감염 시스템을 제어하기 위해 Rekoobe을 설치하는 공급망 공격 사례도 확인된다. [5]\r\n2. Rekoobe 분석\r\n여기에서는 국내에서 접수된 Rekoobe 악성코드들 중 하나를 대상으로 분석한다.\r\nMD5 : 8921942fb40a4d417700cfe37cce1ce7\r\nC\u0026C 서버 : resolv.ctmailer[.]net:80 (103.140.186.32)\r\n다운로드 주소 : hxxp://103.140.186[.]32/mails\r\nRekoobe은 실행 시 프로세스 이름을 정상 프로세스와 동일한 “/bin/bash”로 변경함으로써 사용자가 인지하기 어렵\r\n게 한다. 이는 strcpy() 함수를 이용해 프로그램 실행 시 전달받는 인자를 변경하는 방식으로 구현되어 있다. 참고로\r\n해당 부분은 Tiny SHell에서는 존재하지 않는 부분이다.\r\nFigure 1. 변경된 프로세스 이름\r\nTiny SHell과의 또 다른 차이점이라고 한다면 C\u0026C 서버의 주소나 비밀번호를 전달받는 커맨드 라인 옵션이 존재하\r\n지 않는다는 점이다. 해당 옵션이 존재하지 않기 때문에 C\u0026C 서버의 주소는 다음과 같이 하드코딩된 주소가 사용\r\n된다.\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 1 of 6\n\n인자 기능\r\nP C\u0026C 주소 또는 바인드 포트 번호\r\nS 비밀번호 변경\r\nC C\u0026C 서버 주소\r\ndefault Help 문구\r\nTable 1. Tiny SHell의 실행 인자\r\nFigure 2. Tiny SHell과 Rekoobe 비교\r\nTiny SHell 또는 Rekoobe는 HMAC SHA1 알고리즘을 이용해 AES-128 키를 생성하며 해당 키를 이용해 C\u0026C 서버와\r\n의 통신 데이터를 암호화한다. 다음은 C\u0026C 서버와의 통신 과정을 간략하게 정리한 내용이다.\r\na. C\u0026C -\u003e 클라이언트 : HMAC SHA1 생성\r\n먼저 C\u0026C 서버로부터 0x28 사이즈의 데이터를 전달받는다. 이것은 2개의 0x14 바이트로 나뉘어 HMAC SHA1 컨텍\r\n스트 초기화 시 IV로 사용된다. 참고로 초기화 과정에서는 전달받은 각각의 0x14 바이트인 IV 외에도 하드코딩되어\r\n있는 비밀번호 문자열 “0p;/9ol.”도 함께 사용된다.\r\nFigure 3. 키 생성에 사용되는 하드코딩된 비밀번호\r\n생성된 HMAC SHA1 값들은 AES-128 키로써 각각 C\u0026C 서버로 데이터를 전달할 때 암호화와 C\u0026C 서버로부터 전\r\n달받은 데이터를 복호화하는데 사용된다.\r\nb. C\u0026C -\u003e Rekoobe : 무결성 데이터\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 2 of 6\n\n다음으로 C\u0026C 서버로부터 0x10 바이트의 무결성 검증을 위한 데이터를 전달받는다. Rekoobe은 전달받은 데이터를\r\n위에서 설정한 AES-128 키로 디코딩하며 추가적으로 Xor 과정을 거치면 이후 전달받을 데이터의 사이즈를 얻을 수\r\n있다. 이후 전달받을 데이터는 무결성 검증에 사용되는데, 0x10 바이트이며 아래와 동일한 값을 가져야 한다. 참고\r\n로 해당 값은 Tiny SHell의 소스 코드에서 지정한 값과 동일하다.\r\nFigure 4. 무결성 검증에 사용되는 데이터\r\nc. Rekoobe -\u003e C\u0026C : 무결성 데이터\r\n무결성 검증 과정이 끝나면 반대로 C\u0026C 서버에 0x10 바이트의 동일한 무결성 데이터를 전송한다. 데이터를 보낼\r\n때도 위에서 생성한 HMAC SHA1 값으로 생성한 AES128 키를 이용해 암호화하여 전송한다.\r\nFigure 5. 무결성 데이터를 C\u0026C 서버로 전송\r\nd. C\u0026C -\u003e Rekoobe : C\u0026C 명령\r\ne. C\u0026C -\u003e Rekoobe : 명령 별 추가 데이터\r\n여기까지의 과정이 끝나면 C\u0026C 서버로부터 1바이트의 명령을 전달받는다. 1바이트의 값에 따라 파일 업로드, 파일\r\n다운로드, 리버스 쉘 3개의 명령을 수행할 수 있다.\r\n명령 번호 명령 종류\r\n1 파일 업로드\r\n2 파일 다운로드\r\n3 리버스 쉘\r\nTable 2. C\u0026C 명령\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 3 of 6\n\nFigure 6. C\u0026C 서버와의 연결 및 명령 수행 루틴\r\n명령 수도 3개밖에 되지 않지만 각각의 명령들 자체도 단순한 형태이다. 예를 들어 파일 다운로드 명령 즉 0x02를 전\r\n달받은 경우 다음으로 전달받는 패킷은 다운로드한 파일을 쓸 경로로서, 해당 경로에 파일을 생성하고 파일의 실제\r\n데이터를 쓰는 행위가 전부이다. 리버스 쉘 명령도 다음과 같이 표준 입출력을 C\u0026C 서버에 대한 소켓으로 리다이\r\n렉트 시키고 /bin/sh을 실행하는 간단한 형태이다.\r\nFigure 7. 리버스 쉘 명령\r\n3. Rekoobe 분류\r\n위에서는 하나의 샘플을 대상으로 분석을 진행하였지만 Rekoobe은 최근까지도 다수의 샘플들이 확인되고 있다. 여\r\n기에서는 최근 수집된 Rekoobe 샘플들의 공통점과 차이점 그리고 특징을 설명한다. HMAC SHA1을 기반으로 한\r\nAES128 암호화 알고리즘이 C\u0026C 서버와의 통신에 사용되는 점이나 파일 다운로드 / 업로드, 리버스 쉘 기능을 지원\r\n하는 점 등 기본적인 형태는 동일하다.\r\n대표적인 차이점으로는 C\u0026C 서버와의 통신 방식이다. 위에서 다룬 Rekoobe은 하드코딩된 C\u0026C 서버에 먼저 접속\r\n하는 형태이지만 바인드 쉘 형태로 포트를 오픈하고 C\u0026C 서버의 접속을 기다리는 형태도 존재한다. 이는 Tiny\r\nSHell에서 두 가지를 모두 지원하기 때문이다.\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 4 of 6\n\nFigure 7. 바인드 쉘 형태의 C\u0026C 통신\r\nRekoobe은 빌더가 따로 존재하는 것으로 추정된다. 위에서는 랜덤한 형태의 비밀번호 문자열이 사용되었지만 디폴\r\n트 문자열로 보이는 “replace with your password”를 사용하는 악성코드들이 자주 보이는 것이 그 이유 중 하나이다.\r\n즉 각 악성코드들은 공격자가 공격 시마다 비밀번호를 지정하여 빌더로 생성한 것으로 추정된다. 매번 다른 문자열\r\n이 사용되는 비밀번호와 달리 무결성 검증에 사용되는 데이터는 반대로 대부분 소스 코드와 동일한 “58 90 AE 86\r\nF1 B9 1C F6 29 83 95 71 1D DE 58 0D”이 사용된다는 점이 특징이다.\r\n4. 국내 대상 공격에 사용된 Rekoobe 악성코드\r\n다음은 국내 시스템들을 대상으로 하는 공격에 사용된 Rekoobe 악성코드들이다. 모두 x64 아키텍처인 것을 보면 리\r\n눅스 서버를 공격 대상으로 한 것으로 추정되며 Reverse Shell 형태이다. mails와 service는 상대적으로 유사한 시기\r\n에 수집되었으며 공격자가 지정한 비밀번호가 거의 동일한 것으로 보아 동일한 공격자가 사용한 것으로 추정된다.\r\n이름\r\n아\r\n키\r\n텍\r\n처\r\nC\u0026C\r\n통신\r\n형태\r\nC\u0026C 주소\r\n프로세스 이름\r\n변경\r\n비밀번호\r\njava x64 Reverse 139.162.116[.]218:18120 “/bin/bash” “uiuizhihuowienjkn8891231.,@#$@FSA\r\nrmicd(123) x64 Reverse 172.105.200[.]233:3661 “[kondemand/23]” “replaceadsfCSDFwithxdfyoasdfXX.pas\r\nmails x64 Reverse resolv.ctmailer[.]net:80 “/bin/bash” “0p;/9ol.”\r\nservice x64 Reverse www[.]jxedunavi[.]com:443 “/bin/bash” “0p;/0p;/”\r\nTable 3. 공격에 사용된 Rekoobe 악성코드\r\n5. 결론\r\nRekoobe는 C\u0026C 서버로부터 명령을 받아 악성 파일 다운로드, 시스템 내부 파일 탈취, 리버스 쉘과 같은 기능을 수\r\n행할 수 있는 백도어 악성코드이다. 간단한 형태이지만 네트워크 패킷 탐지를 우회하기 위해 암호화를 사용하며 공\r\n격자의 명령을 받아 다양한 악성 행위를 수행할 수 있다.\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 5 of 6\n\n오픈 소스를 기반으로 하는 Rekoobe은 이미 알려진 중국 공격 그룹 APT31 외에도 또 다른 다수의 공격자들에 의해\r\n사용될 수도 있다. 최근까지도 리눅스 서버를 대상으로 하는 공격에 사용되고 있으며 특히 국내 시스템들을 대상으\r\n로 하는 공격 사례도 지속적으로 확인된다.\r\n이와 같은 보안 위협을 방지하기 위해서는 취약한 환경 설정이나 인증 정보를 검사하고, 관련 시스템들을 항상 최신\r\n버전으로 업데이트하여 공격으로부터 보호해야 한다. 또한 V3를 최신 버전으로 업데이트하여 악성코드의 감염을\r\n사전에 차단할 수 있도록 신경 써야 한다.\r\n파일 진단\r\n– Backdoor/Linux.Rekoob.52072 (2020.04.07.08)\r\n– Trojan/Linux.Rekoobe.XE141 (2020.08.01.00)\r\nMD5\r\n03a87253a8fac6d91d19ea3b47e2ca6c\r\n5f2e72ff741c4544f66fec16101aeaf0\r\n7851833a0cc3482993aac2692ff41635\r\n8921942fb40a4d417700cfe37cce1ce7\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nURL\r\nhttp[:]//139[.]162[.]116[.]218[:]18120/\r\nhttp[:]//172[.]105[.]200[.]233[:]3661/\r\nhttp[:]//resolv[.]ctmailer[.]net/\r\nhttps[:]//www[.]jxedunavi[.]com/\r\n추가 IoC는 ATIP에서 제공됩니다.\r\nAhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래\r\n배너를 클릭하여 확인해보세요.\r\nSource: https://asec.ahnlab.com/ko/55070\r\nhttps://asec.ahnlab.com/ko/55070\r\nPage 6 of 6\n\n국내 리눅스 By ATCP 시스템 공격에 사용되고 있는 Rekoobe 백도어 분석 - ASEC\nPublished: 2023-07-03 · Archived: 2026-04-05 17:49:03 UTC   \nRekoobe은 중국의 APT31 공격 그룹이 사용하고 있는 것으로 알려진 백도어 악성코드이다. AhnLab Security\nEmergency response Center(ASEC)에서는 수년 전부터 국내 고객사들로부터 Rekoobe 악성코드가 꾸준하게 접수되고\n있음에 따라 간략한 분석 정보를 공유한다. 또한 다양한 Rekoobe 변종들을 분류하고 국내 업체들을 대상으로 하는\n공격에 사용된 Rekoobe 악성코드들을 함께 정리한다.   \n1. 개요     \nRekoobe은 리눅스 환경을 대상으로 하는 백도어 악성코드이다. 2015년에 최초로 확인되었으며, [1] 2018년에는 업\n데이트된 버전이 공격에 사용되고 있는 사례가 존재한다. [2] ELF 포맷의 Rekoobe은 아키텍처가 x86, x64 그리고\nSPARC인 것을 보아 주로 리눅스 서버를 공격 대상으로 하는 것으로 추정된다.  \n깃허브에 공개되어 있는 오픈 소스인 Tiny SHell의 소스 코드를 기반으로 제작된 것으로 알려진 Rekoobe은 Tiny라\n는 이름처럼 기본적인 기능을 지원한다. [3] 프로세스 이름 변경과 같은 보조적인 기능을 제외하면 C\u0026C 서버의 명\n령을 받아 다운로드, 업로드 그리고 명령 실행 3가지 기능이 전부이다. 오픈 소스를 기반으로 하기 때문에 유사한 유\n형들까지 대상으로 한다면 분류에 어려움이 있겠지만 여기에서는 일반적으로 알려진 Rekoobe 유형들을 분석한다.\n공격자가 어떤 방식으로 리눅스 시스템에 Rekoobe을 설치하는지 그리고 어떤 대상을 공격하는지에 대한 정보는 많\n지 않지만, Rekoobe는 중국의 공격 그룹인 APT31이 사용하는 악성코드로 알려져 있다. [4] \n일반적으로 리눅스 서버를 대상으로 하는 악성코드들은 부적절하게 관리되고 있는 서버나 최신 버전으로 업데이트\n하지 않아 취약한 서버를 대상으로 한다. 참고로 Rekoobe의 공격자가 다수의 리눅스 서버를 대상으로 스캐닝 및 브\n루트 포싱 공격을 통해 공격한 사례는 확인되고 있지 않다.   \n이에 따라 취약한 계정 정보를 사용하고 있는 시스템들보다도 주로 최신 업데이트를 수행하지 않거나 부적절한 설\n정으로 서비스 중인 리눅스 서버가 공격 대상일 것으로 추정된다. 물론 유명 워드프레스 플러그인을 공격한 공격자\n가 감염 시스템을 제어하기 위해 Rekoobe을 설치하는 공급망 공격 사례도 확인된다. [5] \n2. Rekoobe 분석     \n여기에서는 국내에서 접수된 Rekoobe 악성코드들 중 하나를 대상으로 분석한다.  \nMD5 : 8921942fb40a4d417700cfe37cce1ce7     \nC\u0026C 서버 : resolv.ctmailer[.]net:80 (103.140.186.32)   \n다운로드 주소 : hxxp://103.140.186[.]32/mails    \nRekoobe은 실행 시 프로세스 이름을 정상 프로세스와 동일한 “/bin/bash”로 변경함으로써 사용자가 인지하기 어렵\n게 한다. 이는 strcpy() 함수를 이용해 프로그램 실행 시 전달받는 인자를 변경하는 방식으로 구현되어 있다. 참고로\n해당 부분은 Tiny SHell에서는 존재하지 않는 부분이다.   \nFigure 1. 변경된 프로세스 이름    \nTiny SHell과의 또 다른 차이점이라고 한다면 C\u0026C 서버의 주소나 비밀번호를 전달받는 커맨드 라인 옵션이 존재하\n지 않는다는 점이다. 해당 옵션이 존재하지 않기 때문에 C\u0026C 서버의 주소는 다음과 같이 하드코딩된 주소가 사용\n된다.     \n  Page 1 of 6",
	"extraction_quality": 1,
	"language": "KO",
	"sources": [
		"MISPGALAXY",
		"Malpedia"
	],
	"references": [
		"https://asec.ahnlab.com/ko/55070"
	],
	"report_names": [
		"55070"
	],
	"threat_actors": [
		{
			"id": "aacd5cbc-604b-4b6e-9e58-ef96c5d1a784",
			"created_at": "2023-01-06T13:46:38.953463Z",
			"updated_at": "2026-04-10T02:00:03.159523Z",
			"deleted_at": null,
			"main_name": "APT31",
			"aliases": [
				"JUDGMENT PANDA",
				"BRONZE VINEWOOD",
				"Red keres",
				"Violet Typhoon",
				"TA412"
			],
			"source_name": "MISPGALAXY:APT31",
			"tools": [],
			"source_id": "MISPGALAXY",
			"reports": null
		},
		{
			"id": "9e6186dd-9334-4aac-9957-98f022cd3871",
			"created_at": "2022-10-25T15:50:23.357398Z",
			"updated_at": "2026-04-10T02:00:05.368552Z",
			"deleted_at": null,
			"main_name": "ZIRCONIUM",
			"aliases": [
				"APT31",
				"Violet Typhoon"
			],
			"source_name": "MITRE:ZIRCONIUM",
			"tools": null,
			"source_id": "MITRE",
			"reports": null
		},
		{
			"id": "74d9dada-0106-414a-8bb9-b0d527db7756",
			"created_at": "2025-08-07T02:03:24.69718Z",
			"updated_at": "2026-04-10T02:00:03.733346Z",
			"deleted_at": null,
			"main_name": "BRONZE VINEWOOD",
			"aliases": [
				"APT31 ",
				"BRONZE EXPRESS ",
				"Judgment Panda ",
				"Red Keres",
				"TA412",
				"VINEWOOD ",
				"Violet Typhoon ",
				"ZIRCONIUM "
			],
			"source_name": "Secureworks:BRONZE VINEWOOD",
			"tools": [
				"DropboxAES RAT",
				"HanaLoader",
				"Metasploit",
				"Mimikatz",
				"Reverse ICMP shell",
				"Trochilus"
			],
			"source_id": "Secureworks",
			"reports": null
		}
	],
	"ts_created_at": 1775434476,
	"ts_updated_at": 1775792145,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/c34e5adbdd90e451451042fd5d7210f6a27c7e13.pdf",
		"text": "https://archive.orkl.eu/c34e5adbdd90e451451042fd5d7210f6a27c7e13.txt",
		"img": "https://archive.orkl.eu/c34e5adbdd90e451451042fd5d7210f6a27c7e13.jpg"
	}
}