포스팅 내용

국내외 보안동향

Discord를 통해 명령을 전달받고, 랜섬 기능을 포함한 새로운 RAT 악성코드 발견

New RAT malware gets commands via Discord, has ransomware feature

 

Discord를 명령 및 제어(C2) 서버로 사용하는 첫 원격 접속 트로이목마인 ‘Abaddon’ 이 발견되었습니다.

 

또한 이 악성코드는 랜섬웨어 기능까지 갖추고 있는 것으로 나타났습니다.

 

공격자들이 Discord를 공격에 악용한 것은 이번이 처음은 아닙니다.

 

과거에도 공격자는 Discord를 악성코드를 드롭하기 위해 이용하거나, 자격 증명 및 기타 정보를 훔치기 위해 Discord 클라이언트를 수정하는 악성코드를 개발했습니다.

 

Discord를 완전한 C2 서버로 사용하는 RAT

 

새롭게 발견된 ‘Abaddon’ 원격 액세스 트로이목마(RAT)Discord를 완전한 명령 및 제어 서버로 사용하는 최초의 악성코드입니다.

 

명령 및 제어 서버(C2)는 감염된 컴퓨터에서 악성코드가 실행할 명령을 수신하는 원격 호스트 입니다.

 

Abaddon은 실행된 후 감염된 PC에서 자동으로 아래 데이터를 훔칩니다.

 

- 크롬 쿠키, 저장된 신용카드 자격 증명

 


<크롬 데이터를 훔치는 코드>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/>


 

- Steam 자격 증명 및 설치된 게임 목록