포스팅 내용

국내외 보안동향

Quasar RAT을 배포하는 수준 높은 피싱 캠페인 발견

Experts uncovered an advanced phishing campaign delivering the Quasar RAT


Cofense 연구원들이 가짜 이력서를 통해 Quasar RAT을 배포하는 수준 높은 피싱 캠페인을 발견했습니다.



<이미지 출처: https://cofense.com/advanced-phishing-campaign-delivers-quasar-rat/>



이 캠페인의 주요 특징은 공격 벡터를 위장하기 위해 여러 안티-분석 방식을 사용한다는 것입니다. 


Quasar RAT은 여러 공개 저장소에서 얻을 수 있는 오픈 소스 툴이며, 공격자들은 탐지를 피하기 위해 패스워드 보호, 암호화된 매크로 등을 사용합니다.


Quasar RAT은 APT33, APT10, Dropping Elephant, Stone Panda, The Gorgon Group을 포함한 많은 해킹 그룹이 과거에 사용했었습니다.


이 피싱 캠페인을 통해 배포된 가짜 이력서는 패스워드로 보호된 마이크로소프트 워드 문서였습니다. 


전문가들이 분석한 샘플의 비밀번호는 "123"이었으며, 피싱 메시지 내 포함되어 있었습니다. 


사용자가 해당 악성 문서를 클릭하면, 감염 프로세스를 시작하기 위해 문서 상단에 매크로를 활성화할 것을 요구합니다.



<이미지 출처: https://cofense.com/advanced-phishing-campaign-delivers-quasar-rat/>



연구원들은 이 매크로가 분석 툴을 충돌시키기 위해 개발되었다고 밝혔습니다.


'olevba' 등의 자동 시스템 분석 툴을 통해 매크로 분석을 시도하면, 너무 많은 메모리를 사용하여 분석에 실패하고 충돌이 발생합니다.


이는 공격자가 의도적으로 base64로 인코딩된 쓰레기 코드를 1200줄 이상 포함했기 때문인 것으로 추정됩니다.



<이미지 출처: https://cofense.com/advanced-phishing-campaign-delivers-quasar-rat/>



쓰레기 문자열을 복호화 하려고 시도하면, 어마어마한 양의 복호화 작업이 필요하기 때문에 결국 충돌을 일으키는 것으로 보입니다.


또한 페이로드 URL 일부에는 추가 정보와 함께 임베디드된 이미지와 오브젝트의 메타데이터가 숨겨져 있었습니다.



<이미지 출처: https://cofense.com/advanced-phishing-campaign-delivers-quasar-rat/>



매크로가 성공적으로 실행될 경우, 악성코드가 문서 콘텐츠에 쓰레기 문자열을 계속 추가하는 동안 콘텐츠가 로딩 중이라는 일련의 이미지가 표시됩니다. 


악성 실행파일이 백그라운드에서 다운로드 및 실행되는 동안 위의 프로세스로 인해 시스템은 에러 메시지를 표시합니다.


탐지를 피하기 위해 공격자는 마이크로소프트의 자가 추출 실행파일을 다운로드한 후 Quasar RAT을 해킹한 시스템에 드롭합니다.


이 실행 파일은 401MB 상당의 Quasar RAT 바이너리를 언패킹합니다. 


무료로 악성 파일 검사를 제공하는 웹사이트인 VirusTotal의 최대 파일 업로드 사이즈가 550MB입니다. 


하지만 보통 공개 등록 방식인 이메일 및 API는 주로 32MB, 특수한 상황에서 API를 통한 등록은 최대 200MB입니다.


공격자는 인위적으로 파일 사이즈를 크게 만들어 악성 파일 공유를 어렵게 했으며, 업로드 시 정적 분석 플랫폼에 문제를 일으키도록 제작했습니다.


더 많은 정보는 Cofense의 보고서에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성코드에 대해 'Backdoor.MSIL.Quasar.gen'으로 탐지 중에 있습니다.





출처:

https://securityaffairs.co/wordpress/90426/malware/phishing-quasar-rat.html

https://cofense.com/advanced-phishing-campaign-delivers-quasar-rat/

티스토리 방명록 작성
name password homepage