상세 컨텐츠

본문 제목

동남아 정부를 노리는 새로운 악성코드인 ObliqueRAT 발견

국내외 보안동향

by 알약(Alyac) 2020. 2. 25. 14:42

본문

ObliqueRAT, a new malware employed in attacks on government targets in Southeast Asia


Cisco Talos의 전문가들이 정부와 외교 기관을 노리는 공격자가 개발한 ObliqueRAT이라는 새로운 악성코드를 발견했습니다.


이 악성코드는 동남아시아의 조직을 노리는 타깃 공격에 사용되었습니다.


Cisco Talos는 최근 악성 원격 접속 트로이목마(RAT) 패밀리인 “ObliqueRAT”을 배포하는 새로운 캠페인을 발견했다고 밝히며 ObliqueRAT과 2019년 12월 발생한 CrimsonRAT을 배포하는 다른 캠페인 사이의 링크를 발견했습니다. 


이 둘은 유사한 악성 문서와 매크로를 사용했습니다. 또한 CrimsonRAT은 동남아시아 지역의 외교 및 정부 기관을 노리는 것으로 알려져 있습니다.


가장 최근 캠페인은 2020년 1월에 시작되었으며 여전히 진행 중입니다.


공격자는 RAT을 전달하기 위해 마이크로소프트 오피스 문서가 포함된 피싱 메시지를 사용합니다.


이 악성 문서는 피해자에게 내용을 확인하려면 메시지에 포함된 패스워드를 입력하라고 속입니다. 악성 문서에 있는 VB 스크립트는 사용자가 정확한 패스워드를 입력할 경우 활성화됩니다. 이 기술은 과거 다른 실제 공격에서도 목격되었습니다.


이 공격에 사용된 악성 문서의 이름은 “Company-Terms.doc”, “DOT_JD_GM.doc” 등 무해해보이는 이름을 사용했습니다.


문서에 포함된 이 악성 VB 스크립트는 활성화된 후 악성 바이너리를 추출하고 ObliqueRAT를 드롭하는 실행파일을 드롭합니다.


VBScript는 지속성을 위해 아래와 같이 로그인된 사용자의 시작 폴더에 바로가기를 생성합니다.


%userprofile%\\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\saver.url 


- 감염된 엔드포인트에서 임의 명령어 실행

- 파일 추출

- 추가 파일 드롭

- 감염된 엔드포인트에서 프로세스 종료


“이 RAT은 Oblique라는 뮤텍스를 생성 및 검사하여 감염된 엔드포인트에서 언제든 프로세스의 한 인스턴트만 실행되도록 합니다.”


“해당 뮤텍스가 엔드포인트에 이미 존재할 경우, RAT은 감염된 사용자 계정이 다음에 로그인 하기 전까지 실행을 멈춥니다.”


이 악성코드는 샌드박스 및 테스트 환경에서 실행되는 것을 막기 위해 회피 및 분석 방지 기능을 구현했습니다.

CrimsonRAT은 이전에 동일한 지역의 외교 및 정치 조직을 노린 공격을 실행한 그룹이 사용하는 또 다른 악성코드 패밀리입니다.


“이 캠페인은 CrimsonRAT과 유사한 방식으로 타깃에 악성문서를 배포하고 있었습니다.”


“기술적으로는 정교하다고 볼 수 없지만, ObliqueRAT은 감염된 기기에서 다양한 악성 활동을 실행할 수 있는 많은 기능을 포함하고 있습니다.”


현재 알약에서는 해당 악성코드들에 대해 Trojan.Downloader.DOC.Gen, Trojan.Agent.Casdet등으로 탐지중에 있습니다. 




출처 : 


관련글 더보기

댓글 영역