포스팅 내용

국내외 보안동향

GravityRAT 윈도우 악성코드, 이제 안드로이드와 macOS도 노려

Windows GravityRAT malware now also targets Android, macOS

 

가상머신, 샌드박스를 탐지해내기 위해 윈도우 컴퓨터의 CPU 온도를 체크하는 것으로 알려진 GravityRAT이 안드로이드와 macOS 기기도 감염시키는 멀티 플랫폼 스파이웨어로 업그레이드 됐습니다.

 

GravityRAT 원격 접속 트로이목마(RAT)는 최소 2015년부터 파키스탄의 해커 그룹으로 추정되는 조직에서 활발히 개발되고 있으며, 인도 군사 조직을 노린 공격에 사용되어 왔습니다.

 

새로운 버전, 안드로이드와 macOS 기기 감염시켜

 

이 악성코드의 제작자는 과거 윈도우 기기만을 노렸으나 카스퍼스키 연구원들이 작년 발견한 샘플을 조사한 결과 macOS와 안드로이드를 지원하도록 개선된 것으로 나타났습니다.

 

게다가 이들은 그들의 코드에 디지털 서명을 사용해 악성코드가 합법적으로 보이게 만들었습니다.

 

업데이트된 RAT 샘플은 연락처, 이메일, 문서를 훔쳐 C2 서버인 nortonupdates[.]online으로 전송하는 안드로이드 스파이웨어 앱을(Travel Mate Pro ) 분석하던 중 발견되었습니다. 해당 C2 서버는 윈도우 및 macOS 플랫폼을 노리는 다른 두 악성앱(Enigma, Titanium)에서도 사용된 것으로 나타났습니다.

 

공격자는 위 악성 앱을 통해 멀티 플랫폼 코드를 실행하는 스파이웨어를 드롭합니다. 이는 감염된 기기에 명령을 전달할 수 있으며, 아래 공격을 실행할 수 있습니다.


 

- 시스템에 대한 정보 수집

- 컴퓨터 및 이동식 디스크에서 .doc, .docx, .ppt, .pptx, .xls, .xlsx, .pdf, .odt, .odp, .ods 파일을 검색하고 서버에 업로드

- 키 입력 가로채기

- 스크린샷 캡처

- 임의 쉘 명령 실행

- 오디오 녹음 (이 버전에서는 구현되지 않음)

- 포트 스캔

 


카스퍼스키의 연구원들은 이에 대해 아래와 같이 언급했습니다.

 

사용된 C&C 주소 모듈을 분석한 결과, GravityRAT의 배후에 있는 공격자와 관련된 추가 모듈 다수가 밝혀졌습니다.”

 

“GravityRAT의 버전 10개 이상이 발견되었으며, 이들은 사용자가 트로이목마에 감염되지 않도록 보호하는 안전한 파일 공유 애플리케이션, 미디어 플레이어 등 정식 애플리케이션으로 위장하여 배포되었습니다.”

 

악성 앱으로 이어지는 링크를 통해 배포

 

카스퍼스키는 .NET, Python, Electron으로 개발된 애플리케이션을 발견했습니다. 일부는 정식 앱의 복제본 형태였습니다. 이 앱은 C&C 서버로부터 GravityRAT 페이로드를 다운로드하고 감염된 기기에 예약 작업을 추가해 지속성을 얻습니다.

 

보고서에 따르면 2015년부터 2018년까지 이 RAT을 사용한 공격 중 약 100건이 성공적이었던 것으로 나타났습니다. 이들은 페이스북을 통해 가짜 국방부 및 경찰 직원을 통해 보안 메신저를 설치한 후 감염되었습니다.

 

업데이트된 샘플의 감염 경로는 알려지지 않았지만 연구원들은 과거와 마찬가지로 타깃이 악성 앱에 대한 다운로드 링크를 전송 받아 이동되고 있는 것으로 추측했습니다.

 

현재 알약에서는 해당 악성코드 샘플을 'Backdoor.RAT.Gravity'로 탐지하고 있습니다. 



 

 

출처:

https://www.bleepingcomputer.com/news/security/windows-gravityrat-malware-now-also-targets-android-macos/

https://usa.kaspersky.com/about/press-releases/2020_infamous-gravity-rat-spyware-evolves-to-target-multiple-platforms

https://securelist.com/gravityrat-the-spy-returns/99097/


티스토리 방명록 작성
name password homepage