2020-08-09 05:05 (일)
APT 해킹그룹, 새로운 원격 접속 트로얀(RAT) 활용해서 공격
상태바
APT 해킹그룹, 새로운 원격 접속 트로얀(RAT) 활용해서 공격
  • 우진영 기자
  • 승인 2020.03.02 12:52
이 기사를 공유합니다

지난주 목요일, 시스코 탈로스 연구원들은 동남아시아를 타깃으로 하는 새로운 캠페인에서 사용된 ObliqueRAT로 명명된 멀웨어에 대해 설명했다.

이 최신 캠페인은 2020년 1월에 시작되어 진행중이다. 이 계획의 배후에 있는 사이버 범죄자들은 피싱 메일을 주요 공격 경로로 사용하며 첨부된 악의적인 마이크로소프트 오피스 문서를 이용하여 RAT를 배포한다. 첨부 파일은 Company-Terms.doc 또는 DOT_JD_GM.doc와 같으며 두번째 파일은 "통신부서(Department Of Telecommunications)_작업설명(Job Description)_일반 관리자(General Manager)"의 약자이다.

문서를 합법적이고 안전하게 보이도록 만들기 위해 암호 보호 기능을 사용한다. 파일을 여는데 필요한 자격 증명이 피싱 이메일의 본문에 포함되어 있다. 피해자가 암호를 입력하고 문서를 열면 악성 VB 스크립트가 작동해 악성 바이너리를 추출해 ObliqueRAT의 드로퍼 역할을 하는 실행파일을 드롭한다. 또한 손상된 시스템이 재부팅될 때마다 실행 파일의 시작 프로세스를 생성하여 지속성이 유지된다.

탈로스는 이 RAT를 "단순한(simple)" 것으로 분석하고 있지만, 명령 및 제어(C2) 서버로 전송하기 위해 파일 및 시스템 데이터를 유출하는 기능을 포함하여 추가 페이로드 다운로드 및 실행, 기존 프로세스 종료 기능 등 일반적인 트로이 목마의 핵심 기능을 포함하고 있다.

그러나 흥미로운 기능은 악성코드가 내부에 있는 파일을 얻기 위해 특정 디렉토리를 찾는다는 것이다. 디렉토리 이름은 C:\ProgramData\System\Dump로 하드코드 되어 있다.

"RAT는 Oblique라는 뮤텍스를 생성하고 검사함으로써 주어진 시간에 감염된 엔드 포인트에서 프로세스의 한 인스턴트만 실행되도록 한다. 명명된 뮤텍스가 이미 엔드 포인트에 존재하면 RAT는 다음에 감염된 사용자 계정이 로그인 될 때까지 실행을 중지한다."

탐지 및 리버싱을 피하기 위해 멀웨어는 시스템 이름과 PC가 샌드박스되었다는 단서, 예를 들어 사용자 이름이 "test"같은 것인지를 확인한다.

탈로스에 따르면 RAT 확산 방식과 악의적인 문서에 사용된 VBA 스크립트 변수 간의 유사성은 이전에 같은 지역의 외교 및 정치 조직에 대한 공격에 사용된 CrimsonRAT와 잠재적인 링크를 시사한다.

"이 캠페인은 CrimsonRAT 배포에 사용된 것과 유사한 악성 문서를 사용하는 위협 행위자를 보여준다. 그러나 여기서 눈에 띄는 것은 행위자가 새로운 RAT 제품군을 배포하고 있다는 점이다. 기술적으로 정교하지는 않지만 ObliqueRAT는 감염된 엔드 포인트에서 다양한 악의적 활동을 수행하는데 사용할 수 있는 다양한 기능으로 구성되어 있다."라고 탈로스는 설명한다.

★정보보안 대표 미디어 데일리시큐!★