상세 컨텐츠

본문 제목

키보드 배열로 타깃이 중동에 있는지 확인한 후 선택적으로 공격하는 JhoneRAT 발견

국내외 보안동향

by 알약(Alyac) 2020. 1. 21. 13:08

본문

JhoneRAT uses Google Drive, Twitter, ImgBB, and Google Forms to target countries in Middle East


키보드 배열로 타깃이 중동에 있는지 확인한 후 선택적으로 공격하는 새로운 트로이목마인 JhoneRAT이 발견되었습니다.


이 악성코드는 사우디 아라비아, 이라크, 이집트, 리비아, 알제리, 모로코, 튀니지, 오만, 예멘, 시리아, UAE, 쿠웨이트, 바레인, 레바논을 포함한 아랍어를 사용하는 국가를 노립니다.


이를 발견한 Cisco Talos는 “이 새로운 RAT인 “JhoneRAT”은 악성 마이크로소프트 오피스 문서를 통해 피해자에게 전달됩니다.”


“이 드롭퍼는 Python RAT와 함께 피해자 기기 내 정보를 수집하려 시도하며 구글 드라이브, 트위터, ImgBB, 구글 양식 등 다양한 클라우드 서비스를 사용합니다.”


<이미지 출처 : https://securityaffairs.co/wordpress/96600/malware/jhonerat-targets-middle-east.html>


JhoneRAT은 파이썬으로 작성되었으며, 추가 페이로드를 다운로드하고 정찰 단계에서 수집한 정보를 업로드하려 시도합니다.


Talos의 연구원들은 매크로를 포함하고 있는 추가 문서를 다운로드 후 불러오려 시도하는 무기화된 마이크로소프트 오피스 문서 3개를 발견했습니다. 첫 번째 문서의 이름은 “Urgent.docx”로 문서의 작성 날짜는 2019년 11월이었습니다.


두 번째 문서는 “fb.docx”로 작성 날짜는 1월이며 페이스북 정보 유출과 관련된 데이터를 포함하고 있다고 표시되어 있습니다. 세 번째 문서는 1월 중순 발견되었으며 합법적인 UAE 조직에서 작성한 것으로 위장하고 있었습니다.


JhoneRAT이 로드 및 실행하는 추가 오피스 문서 다수는 URL 블랙리스팅을 방지하기 위해 구글 드라이브를 통해 호스팅되고 있었습니다.


JhoneRAT은 구글 드라이브를 통해 드롭되며 끝 부분에 base64로 암호화된 바이너리를 추가한 이미지를 호스팅합니다. 이미지가 타깃 기기에 로드되면 OS, 디스크 시리얼 번호, 안티바이러스 등 피해자 기기의 정보를 수집하는 트로이목마를 설치합니다.


이 악성코드는 트위터를 C&C 서버로 사용합니다. 정보를 추출하는 동안 매 10초마다 공개 트위터 피드를 확인합니다.


“이 RAT은 C&C 활동을 위해 클라우드 서비스 3개를 사용합니다. 매 10초마다 트위터 계정 @jhone87438316(현재는 차단됨)의 새로운 트윗을 확인합니다. 새로운 트윗을 식별하기 위해서는 BeautifulSoup HTML 파서를 사용합니다.”


“각 타깃마다 생성된 UID를 기반으로 (디스크 시리얼 번호 및 호스트 명, 안티바이러스, OS와 같은 컨텍스트 정보를 사용하여) 특정 피해자에게 명령을 보낼 수 있습니다.”


“공격자는 가상 머신(샌드박스)에서 실행되는 것을 막기 위한 몇 가지 트릭을 사용합니다. 첫 번째는 디스크의 시리얼 번호를 확인하는 것입니다. JhoneRAT과 매크로 둘 모두 동일한 기술을 사용합니다. 대부분의 가상 머신은 기본적으로 디스크에 시리얼 번호가 없습니다.”


“두 번째 트릭은 파이썬 코드의 분석을 막기 위해 사용됩니다. 공격자는 파이어아이의 Flare-On 6: Challenge 7:과 동일한 트릭을 사용합니다. 그들은 파이썬 바이트코드의 헤더를 제거했습니다.”


전문가들에 따르면, 이 캠페인은 여전히 진행 중입니다. 공격에 사용되는 트위터 계정은 삭제된 상태지만 언제든지 새 계정을 생성해 활용할 수 있습니다.


현재 알약에서는 해당 악성코드들에 대해 Exploit.CVE-2017-0199로 탐지중에 있습니다. 


출처 :

https://securityaffairs.co/wordpress/96600/malware/jhonerat-targets-middle-east.html

https://blog.talosintelligence.com/2020/01/jhonerat.html

관련글 더보기

댓글 영역