상세 컨텐츠

본문 제목

산업 부문을 노리며 RAT과 정보 탈취 악성코드를 드롭하는 RATicate 발견

국내외 보안동향

by 알약(Alyac) 2020. 5. 18. 08:45

본문

RATicate drops info stealing malware and RATs on industrial targets


Sophos의 보안 연구원들이 기업들을 노리며 NSIS 인스톨러를 악용하여 원격 접속 툴(RAT) 및 인포스틸러 악성코드를 배포하는 한 해킹 그룹을 발견했습니다.


연구원들은 RATicate 공격자들이 2019년 11월 ~ 2020년 1월 사이에 공격을 5차례 실행해 유럽, 중동, 대한민국의 산업 기업을 노렸다고 밝혔습니다.


또한 과거 발생한 다른 유사 캠페인과 관련이 있을 것으로 의심했습니다.



- 루마니아 전기 장비 제조 기업

- 쿠웨이트 건설 서비스 및 엔지니어링 기업

- 한국 인터넷 기업

- 한국 투자 관련 기업

- 영국 건축 자재 제조 기업

- 한국 의학 뉴스 언론사

- 한국 통신 및 전기 케이블 제조 기업

- 스위스 출판 장비 제조 기업

- 일본 택배 및 운송 기업



감염 체인


공격자는 타깃 시스템을 감염 시키기 위해 공격 체인 2가지를 사용했습니다. 


둘 다 피싱 이메일을 활용하여 페이로드를 전달하지만 배포 방식에 약간의 차이가 있습니다.


첫 번째 감염 체인은 악성 NSIS 인스톨러가 포함된 ZIP, UDF, IMG 첨부파일을 사용합니다. 


두 번째 감염 체인은 원격 서버에서 피해자 기기에 인스톨러를 다운로드하는 악성 XLS와 RTF 문서를 사용합니다.


 

<이미지 출처: https://news.sophos.com/wp-content/uploads/2020/05/image2020-3-27_22-29-9-1.png>



NSIS(Nullsoft Scriptable Install System) 인스톨러는 동일한 로더를 사용하지만, 다른 악성 페이로드를 드롭했습니다.


악성 NSIS 패키지가 다크포럼에서 판매되는 일반적인 패커이거나, 동일한 공격자가 다른 페이로드를 배포하기 위해 커스텀 로더를 사용하는 것으로 보입니다.


이 NSIS 인스톨러는 드롭된 악성코드를 숨기기 위한 이미지, 소스코드 파일, 셸 스크립트, 파이썬 바이너리 등의 정크 파일 모음을 드롭하도록 설계되었습니다.


수동 및 샌드박싱 툴을 이용해 수집한 샘플을 조사한 결과, Lokibot, Betabot, Formbook, AgentTesla 등 여러 RAT 및 인포스틸러 제품군이 발견되었습니다. 


발견된 악성코드는 모두 실행 시, 동일한 다단계 언패킹 프로세스를 거쳤습니다.



한 공격자가 다수 캠페인 실행해


연구원들은 순차적으로 진행된 캠페인 5건에서 발견된 RATicate가 유사한 페이로드를 드롭하고 동일한 C&C 인프라를 사용하는 것을 발견했습니다.


주로 Betabot, Lokibot, AgentTesla, Formbook와 같은 페이로드를 배포하는 각 캠페인에서도 동일한 C&C 서버를 사용했습니다.


일부 인프라는 여러 캠페인에서 사용되었으며 동일한 공격자의 소행으로 보입니다.


 



<이미지 출처: https://news.sophos.com/en-us/2020/05/14/raticate/>



산업 스파이 또는 서비스형 악성코드(Maas) 제공자일 가능성 있어


연구원들은 2020년 3월 이후 발견된 RATicate 그룹의 공격에서 다른 페이로드와 미끼를 사용한다고 밝혔습니다. 


이들은 사용자가 악성코드를 설치하도록 속이기 위해 설계된 코로나19 관련 미끼 또한 사용했습니다.


RATicate 그룹이 산업 스파이의 역할을 하는지, 아니면 서비스형 악성코드 제공자인지 확실히 알 수는 없었습니다.


다른 제3자에게 접근 권한을 주기 위해 타깃 기업에 악성코드를 드롭하거나, 더욱 거대한 악성코드 배포 계획의 일환으로 인포스틸러와 RAT을 배포하는 것일 수 있습니다.


더욱 자세한 내용은 Sophos의 보고서에서 확인하실 수 있습니다.


현재 알약에서는 해당 악성 샘플에 대해 'Trojan.Agent.Tiggre, Trojan.Agent.Makoob, Trojan.Agent.Occamy.A' 등으로 탐지 중입니다.





출처:

https://www.bleepingcomputer.com/news/security/raticate-drops-info-stealing-malware-and-rats-on-industrial-targets/

https://news.sophos.com/en-us/2020/05/14/raticate/

관련글 더보기

댓글 영역