Home > Àüü±â»ç

ÆÄÀϸ®½º ¹æ½ÄÀ¸·Î µ¿ÀÛÇÏ´Â ¸®º¥Áö RAT ¾Ç¼ºÄÚµå À¯Æ÷Áß

ÀÔ·Â : 2024-02-12 22:53
ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â
¸®º¥Áö RAT, À©µµ¿ì Ž»ö±â »ó¿¡¼­ º¸ÀÌÁö ¾Ê¾Æ...¸Þ¸ð¸®»ó¿¡¼­ Fileless ¹æ½ÄÀ¸·Î ½ÇÇà
½Ã½ºÅÛ Á¤º¸ ¼öÁý, È­¸é ĸó, Å°·Î±ë, Ãß°¡ ¾Ç¼ºÆÄÀÏ ´Ù¿î·Îµå µîÀÇ ¾Ç¼ºÇàÀ§ ¼öÇà


[º¸¾È´º½º ¹ÚÀºÁÖ ±âÀÚ] ÃÖ±Ù Á¤»ó µµ±¸¸¦ °¨½Î ¸¸µç ¡®¸®º¥Áö(Revenge) RAT ¾Ç¼ºÄڵ塯°¡ À¯Æ÷µÇ°í ÀÖ´Ù. ¾Ç¼ºÄڵ尡 ½ÇÇàµÇ¸é Á¤»ó µµ±¸¿Í ¾Ç¼º ÆÄÀÏÀ» µ¿½Ã¿¡ »ý¼ºÇØ ½ÇÇàÇÏ°í, »ç¿ëÀÚ´Â ¾Ç¼º ÇàÀ§°¡ ¹ß»ýÇÏ´ÂÁöµµ ÀÎÁöÇϱ⠾î·Æ´Ù´Â À§ÇèÀÌ ÀÖ´Ù.

¡ãÁ¤»ó ÆÄÀÏ°ú ¾Ç¼º ÆÄÀÏÀ» µ¿½Ã¿¡ »ý¼ºÇÏ¿© ½ÇÇà[ÀÚ·á=ASEC]


¾È·¦ ½ÃÅ¥¸®Æ¼ ÀÎÅÚ¸®Àü½º ¼¾ÅÍ(ASEC)¿¡ µû¸£¸é °ø°ÝÀÚ´Â smtp-validator, Email To Sms µîÀÇ À̸§À» °¡Áø µµ±¸¸¦ È°¿ëÇÑ °ÍÀ¸·Î È®ÀεƴÙ. °ø°ÝÀÚ´Â Á¤»ó µµ±¸ÀÎ ¡®smtp-verifier.exe¡¯À» ½ÇÇà½ÃÅ°±â Àü¿¡ ¾Ç¼º ¡®Setup.exe¡¯¸¦ ¿ì¼± »ý¼ºÇÑ´Ù. À̶§ »ý¼ºµÇ´Â ÆÄÀÏÀÇ ¼Ó¼ºÀ» ¡®Hidden¡¯À¸·Î º¯°æÇØ ÀϹÝÀûÀΠȯ°æ¿¡¼­´Â Windows Ž»ö±â »ó¿¡¼­ ÇØ´ç ÆÄÀÏÀÌ º¸ÀÌÁö ¾Ê´Â´Ù´Â Ư¡ÀÌ ÀÖ´Ù.

¡ã¾Ç¼ºÄÚµåÀÇ Àüü È帧¿¡ °üÇÑ µµ½Äµµ[ÀÚ·á=ASEC]


°ø°ÝÀÚ´Â ÃÖÁ¾ÀûÀ¸·Î ¸®º¥Áö RAT ¾Ç¼ºÄÚµå ½ÇÇàÀ» ¸ñÇ¥·Î ÇÏ´Â °ÍÀ¸·Î µå·¯³µ´Ù. Á¤»ó Åø°ú ÇÔ²² »ý¼ºµÇ´Â ¾Ç¼ºÆÄÀÏ setup.exe´Â Ãß°¡ ¾Ç¼ºÄڵ带 »ý¼ºÇÏ´Â ¿ªÇÒ¸¸ ¼öÇàÇÑ´Ù. svchost.exe´Â ¸í·ÉÁ¦¾î(C&C) ¼­¹ö¿¡ Á¢¼ÓÇØ HTML ÆÄÀÏÀ» ³»·Á¹Þ°í, ÆÄÀÏ ³»ºÎ¿¡ °ø°ÝÀÚ°¡ ƯÁ¤ÇÑ ÁÖ¼®À» ÀÐ°í ¾ÐÃà ÇØÁ¦ÇØ Æ¯Á¤ °æ·Î¿¡ explorer.exe ÆÄÀÏÀ» »ý¼º ¹× ½ÇÇàÇÑ´Ù.

C&C ¼­¹ö´Â Á¤»óÀûÀ¸·Î ¿î¿µµÇ°í ÀÖ´Â ºí·Î±×ó·³ À§ÀåÇßÀ¸¸ç, ƯÁ¤ ¿ÀÇÁ¼Â¿¡ ¿Â¶óÀÎ ÁÖ¼®À¸·Î ¾Ç¼º ÆÄÀÏÀ» Æ÷ÇÔÇÏ°í ÀÖ´Ù. °ø°ÝÀÚ´Â ÇØ´ç HTMLÆÄÀÏ ³»ºÎ¿¡¼­ ¡®¡¯ »çÀÌÀÇ °ªÀ» Àоî Base64 µðÄÚµùÀ» ¼öÇàÇÏ°í, ¾ÐÃà ÇØÁ¦ÇØ Ãß°¡ ¾Ç¼ºÄڵ带 »ý¼ºÇÏ´Â ¹æ½ÄÀÌ´Ù.

¡ãºí·Î±×·Î À§ÀåÇÑ C&C ¼­¹ö¿Í ÁÖ¼®¿¡ Æ÷ÇÔµÈ ¾Ç¼º ¹ÙÀ̳ʸ®[ÀÚ·á=ASEC]


C&C ¼­¹ö ÁÖ¼Ò¿¡ Á¢±Ù Á¦ÇÑ ½Ã, ´Ù¸¥ C&C ¼­¹ö ÁÖ¼Ò·Î ¿ìȸÇÑ´Ù. ÀÌ ¶ÇÇÑ Á¤»ó ºí·Î±×·Î À§ÀåÇÑ ¸ð½ÀÀ¸·Î È®ÀεƴÙ. °ø°ÝÀÚ´Â ÀÌ·¯ÇÑ ¸ÞÄ¿´ÏÁòÀ» ÅëÇØ ±âÁ¸ C&C ¼­¹ö ÁÖ¼Ò°¡ ¸·ÇûÀ» °æ¿ì ȤÀº °ø°ÝÀÚ°¡ »õ·Î¿î C&C ¼­¹ö¸¦ ¾÷µ¥ÀÌÆ®ÇßÀ» °æ¿ì¸¦ ´ëºñÇß´Ù.

C&C ¼­¹öÀÇ HTML ÆÄÀÏ¿¡¼­ ÃßÃâÇÑ ¾Ç¼º ÆÄÀÏÀº ¡®version.exe¡¯ ÆÄÀÏÀ» »ý¼ºÇÏ°í, ±Ã±ØÀûÀ¸·Î ÆÄÀϸ®½º(Fileless) ¹æ½ÄÀ¸·Î ¸®º¥Áö RAT ¾Ç¼ºÄڵ带 ½ÇÇàÇÏ°Ô µÈ´Ù. À̶§ »ý¼ºµÇ´Â ¡®version.exe¡¯Àº »ç¿ëµÈ ¾Ç¼º ÆÄÀÏÀ» ÆÄ¿ö¼Ð ¸í·É¾î·Î Windows Defender ¿¹¿Ü ÆÄÀÏ µî·ÏÇÏ´Â ±â´ÉÀ» ¼öÇàÇÑ´Ù.

¡ãversion.exeÀÇ °æ·Î°¡ »ðÀÔµÈ .inf ÆÄÀÏ[ÀÚ·á=ASEC]


°ø°ÝÀÚ´Â version.exe¸¦ cmstp¿¡ Àü´ÞÇØ ½ÇÇàÇϴµ¥, ÀÌ´Â ¾ÈƼ¹ÙÀÌ·¯½º Á¦Ç°ÀÇ Å½Áö ¿ìȸ¸¦ ¸ñÀûÀ¸·Î ¾Ç¼º ÆÄÀÏÀ» Windows ±âº» ÇÁ·Î±×·¥(cmstp.exe)À¸·Î ½ÇÇàÇÏ´Â CMSTP EvasionÀÌ´Ù. ÇØ´ç ±â¹ýÀº ¿©·¯ Á¾·ùÀÇ ¾Ç¼ºÄڵ忡¼­ ÁÖ·Î »ç¿ëÇÏ´Â ¹æ¹ýÀ¸·Î ¾Ë·ÁÁ® ÀÖ´Ù.

ÀÌ·¸°Ô CMSTP Evasion ¹æ½ÄÀ¸·Î ½ÇÇàµÈ ¡®version.exe¡¯´Â ¾Æ·¡ ¸í·ÉÀ» ½ÇÇàÇØ °ø°Ý °úÁ¤¿¡¼­ »ç¿ëµÈ ¾Ç¼º ÆÄÀϵéÀ» Windows Defender ¿¹¿Ü ÆÄÀÏ·Î µî·ÏÇÑ´Ù. explorer, svchost µî °ø°Ý °úÁ¤¿¡¼­ »ç¿ëµÇ´Â ¾Ç¼ºÆÄÀÏÀÇ À̸§ÀÌ ÁÖ·Î Windows ±âº» ÇÁ·Î±×·¥À̶ó´Â Ư¡ÀÌ ÀÖ´Ù.

ÀÌÈÄ °ø°ÝÀÚ´Â ¸®¼Ò½º ¿µ¿ª¿¡¼­ ¹ÙÀ̳ʸ®¸¦ Àоî¿Í DES ¾Ë°í¸®ÁòÀ» »ç¿ëÇØ º¹È£È­Çϸç, µåµð¾î °ø°ÝÀÚÀÇ ÃÖÁ¾ ¸ñÀûÀÎ ¸®º¥Áö RAT ¾Ç¼ºÄڵ尡 µîÀåÇÑ´Ù. ÇØ´ç RAT´Â MITRE ATT&CK¿¡¼­ Revenge RAT(S0379)·Î ºÐ·ùµÇ¸ç ÁÖ·Î ½Ã½ºÅÛ Á¤º¸ ¼öÁý, È­¸é ĸó, Å°·Î±ë, Ãß°¡ ¾Ç¼ºÆÄÀÏ ´Ù¿î·Îµå, ½ºÅ©¸³Æ® ½ÇÇà µîÀÇ ¾Ç¼ºÇàÀ§°¡ Æ÷ÇԵŠÀÖ´Ù.

¸®º¥Áö RAT ¾Ç¼ºÄÚµå´Â ¸Þ¸ð¸®»ó¿¡¼­ ÆÄÀϸ®½º ¹æ½ÄÀ¸·Î ½ÇÇàµÇ¸ç, ´ÙÀ½°ú °°ÀÌ C2(qcpanel.hackcrack[.]io:9561)¿¡ »ç¿ëÀÚ PCÀÇ µ¥ÀÌÅ͸¦ ¼öÁýÇØ Base64 ÀÎÄÚµùÇÑ ÇüÅ·ΠÀü¼ÛÇÑ´Ù. Å»ÃëµÇ´Â »ç¿ëÀÚ µ¥ÀÌÅÍ´Â ¡âPC, User À̸§ ¡âOS, CPU, µå¶óÀÌºê ¿ë·® µî ½Ã½ºÅÛ Á¤º¸ ¡âÀÚ½Å(Revenge RAT)À» ½ÇÇà½ÃŲ ºÎ¸ð ÇÁ·Î¼¼½ºÀÇ Á¤º¸ ¡âIP ÁÖ¼Ò ¹× region Á¤º¸ ¡â»ç¿ë ÁßÀÎ Anti-Virus, Firewall Á¦Ç° À̸§ µîÀÌ´Ù.

ÀÌó·³ ¿ÀǼҽº³ª °ø°³µÈ ToolÀ» »ç¿ëÇÒ ¶§´Â °¢º°ÇÑ ÁÖÀÇ°¡ ÇÊ¿äÇϸç, ¹Ýµå½Ã °ø½Ä ȨÆäÀÌÁö¿¡¼­ ³»·Á¹Þ´Â ½À°üÀÌ ¿ä±¸µÈ´Ù.
[¹ÚÀºÁÖ ±âÀÚ(boan5@boannews.com)]

<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(www.boannews.com) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>

  •  
  • 0
  • ÆäÀ̽ººÏ º¸³»±â Æ®À§ÅÍ º¸³»±â ³×À̹ö ¹êµå º¸³»±â Ä«Ä«¿À ½ºÅ丮 º¸³»±â ³×À̹ö ºí·Î±× º¸³»±â

  • ¡°
  •  SNS¿¡¼­µµ º¸¾È´º½º¸¦ ¹Þ¾Æº¸¼¼¿ä!! 
  • ¡±
 ÇÏÀÌÁ¨ ÆÄ¿öºñÁî 23³â 11¿ù 16ÀÏ~2024³â 11¿ù 15ÀϱîÁö ¾Æ½ºÆ®·Ð½ÃÅ¥¸®Æ¼ ÆÄ¿öºñÁî 2023³â2¿ù23ÀÏ ½ÃÀÛ ³Ý¾Øµå ÆÄ¿öºñÁî ÁøÇà 2020³â1¿ù8ÀÏ ½ÃÀÛ~2021³â 1¿ù8ÀϱîÁö À§Áîµð¿£¿¡½º 2018
¼³¹®Á¶»ç
³»³â ȸ»ç¿¡ ²À µµÀÔÇÏ°í ½ÍÀº º¸¾È ¼Ö·ç¼Ç ¶Ç´Â Ç÷§ÆûÀº ¹«¾ùÀΰ¡¿ä?
XDR
EDR
AI º¸¾È
Á¦·ÎÆ®·¯½ºÆ®
°ø±Þ¸Á º¸¾È ü°è(SBOM)
Ŭ¶ó¿ìµå º¸¾È ¼Ö·ç¼Ç
±âŸ(´ñ±Û·Î)