AsyncRAT 멀웨어를 활용한 치명적인 사이버 공격이 무려 11개월 동안 미국의 주요 인프라를 은밀히 공격한 것으로 드러났다.

2019년에 개발된 오픈소스 원격 액세스 도구인 AsyncRAT은 사이버 범죄자들이 선호하는 무기가 되었다. 원격 명령 실행, 키 로깅, 데이터 유출, 추가 멀웨어 배포가 가능한 이 도구는 윈도우 시스템에 상당한 위협이 되고 있어 각별히 주의해야 한다.

마이크로소프트 보안 연구원은 지난 여름, 하이재킹된 이메일 스레드를 통해 멀웨어가 전달되는 공격을 처음 발견했으며, 공격자들은 100개가 넘는 도메인과 수백 개의 고유한 로더 샘플을 사용해 타깃을 은밀하게 공격했다고 전했다.

◆공격이 전개되는 방식

공격자는 교묘한 GIF 첨부 파일이 포함된 이메일로 공격을 시작해 난독화된 자바스크립트 및 파워쉘 스크립트를 다운로드하는 SVG 파일로 유도한다. 샌드박싱 방지 검사를 통과한 후 로더는 명령 및 제어(C2) 서버와 통신해 피해자가 AsyncRAT에 감염될 수 있는지 여부를 판단한다.

특히, C2 도메인은 BitLaunch에서 호스팅된다. 여기스는 사이버 범죄자들이 선호하는 암호화폐로 익명 결제할 수 있다. 분석 환경을 방해하기 위해 로더는 미끼 페이로드를 배포하는데, 이는 보안 연구자를 기만하고 위협 탐지 도구를 회피하기 위한 전술인 것으로 보인다. 위협 공격자는 지난 11개월 동안 300여 개의 고유한 로더 샘플을 사용했다는 사실도 밝혀졌다.

또한 공격자들은 매주 일요일마다 새로운 C2 도메인을 생성하는 도메인 생성 알고리즘(DGA)을 활용했다. 도메인은 '최상위' TLD, 임의의 영숫자 8자리, 남아프리카공화국을 국가 코드로 사용하고 디지털오션에서 호스팅하는 등 다양한 전술을 구사했다.

경계 태세, 정기적인 위협 인텔리전스 업데이트, 고급 위협 탐지 기술 도입은 AsyncRAT과 같이 진화하고 정교한 위협에 맞서 싸우는 데 있어 매우 중요한 사안이다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★