각종 RAT 퍼트리는 자바스크립트 드로퍼 ‘랫디스펜서’ 발견돼

탐지도 잘 되지 않는 자바스크립트 멀웨어 랫디스펜서가 발견됐다. 각종 원격 접근 트로이목마(RAT)들이 이 멀웨어를 타고 퍼져가는 중이라고 한다. 아마도 미지의 해킹 그룹의 사업 아이템일 가능성이 높은 이 멀웨어는 각종 탐지 솔루션도 잘 피해가고 있다.

[보안뉴스 문가용 기자] HP 쓰레트 리서치에 소속된 보안 전문가들이 새로운 자바스크립트 로더를 발견했다. 대단히 은밀하게 침투하며 랫디스펜서(RATDispenser)라는 이름이 현재까지는 붙어 있는 상태다. 이름 그대로 다양한 종류의 원격 접근 트로이목마(RAT)를 퍼트리는 기능을 가지고 있다. 자바스크립트로 된 로더는 흔치 않기 때문에 보안 전문가들이 이를 흥미롭게 관찰했다.

[이미지 = utoimage]

랫디스펜서는 대단히 탐지 회피율이 좋은 멀웨어로, 바이러스토탈(VirusTotal) 상에서 11%의 탐지율을 기록하는 중이다. 현재까지 분석된 바에 따르면 2021년 한 해 동안 랫디스펜서가 퍼트린 RAT 패밀리들은 다음과 같다.
1) STRRAT
2) WSHRAT
3) AdWind
4) Formbook
5) Remcos
6) Panda Stealer
7) GuLoader
8) Ratty

한 공격 단체가 다채로운 RAT를 사용하고 있는 것일 수도 있지만, 랫디스펜서가 일종의 서비스형 멀웨어 혹은 서비스형 공격 인프라로서 판매되는 것일 수도 있다. “자바스크립트 멀웨어가 관여된 대부분의 사건에서 그렇듯, 랫디스펜서 역시 최초 침투 이후 2차 멀웨어 다운로드의 역할을 충실히 실행하는 멀웨어입니다. 저희가 분석했을 때 94%의 경우 드로퍼로서 활용되고 있었습니다.” HP의 설명이다.

공격은 자바스크립트 첨부파일이 포함된 피싱 이메일로부터 시작된다. 첨부파일은 .txt.js와 같은 확장자를 가지고 있어 얼핏 보면 일반적인 텍스트 파일처럼 보인다. 피해자가 이 파일을 다운로드 받아 실행시킬 경우 자바스크립트가 디코드 되며 VB스크립트 파일을 %TEMP% 폴더에 작성한다. 이 VB스크립트는 최종 RAT 페이로드를 다운로드 받아 실행시킨다.

HP의 연구원들이 지난 3개월 동안 발견한 랫디스펜서 샘플은 155개라고 한다. 이들은 총 3가지 변종으로 분류될 수 있었다. 이 3가지 변종을 분석하고 추적했을 때 최종 페이로드들도 구하는 게 가능했다. “최종 페이로드들은 RAT이거나, 키로거이거나, 정보 탈취용 멀웨어였습니다. 그 중 STRRAT과 WSHRAT가 81%를 차지했습니다.”

연구원들은 해시, URL, 야라 규칙, 추출 스크립트를 깃허브(https://github.com/hpthreatresearch)에 공개했다.

3줄 요약
1. RAT을 전문적으로 퍼트리는 자바스크립트 기반 멀웨어 발견됨.
2. 무려 155개의 샘플이 지난 3개월 동안 발견될 정도로 활발하게 활동 중.
3. 8개의 RAT 패밀리가 이 멀웨어를 통해 퍼지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)