Discord를 통해 명령을 전달받고, 랜섬 기능을 포함한 새로운 RAT 악성코드 발견

New RAT malware gets commands via Discord, has ransomware feature

 

Discord를 명령 및 제어(C2) 서버로 사용하는 첫 원격 접속 트로이목마인 ‘Abaddon’ 이 발견되었습니다.

 

또한 이 악성코드는 랜섬웨어 기능까지 갖추고 있는 것으로 나타났습니다.

 

공격자들이 Discord를 공격에 악용한 것은 이번이 처음은 아닙니다.

 

과거에도 공격자는 Discord를 악성코드를 드롭하기 위해 이용하거나, 자격 증명 및 기타 정보를 훔치기 위해 Discord 클라이언트를 수정하는 악성코드를 개발했습니다.

 

Discord를 완전한 C2 서버로 사용하는 RAT

 

새롭게 발견된 ‘Abaddon’ 원격 액세스 트로이목마(RAT)는 Discord를 완전한 명령 및 제어 서버로 사용하는 최초의 악성코드입니다.

 

명령 및 제어 서버(C2)는 감염된 컴퓨터에서 악성코드가 실행할 명령을 수신하는 원격 호스트 입니다.

 

Abaddon은 실행된 후 감염된 PC에서 자동으로 아래 데이터를 훔칩니다.

 

- 크롬 쿠키, 저장된 신용카드 자격 증명

 

<크롬 데이터를 훔치는 코드>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/>

 

- Steam 자격 증명 및 설치된 게임 목록

 

<스팀 데이터를 훔치는 코드>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/>

 

- Discord 토큰 및 MFA 정보

- 파일 목록

- 국가, IP 주소, 하드웨어 정보 등 시스템 정보

 

이후 Abaddon은 아래와 같이 Discord C2 서버에 연결하여 실행할 새 명령을 확인합니다.

 

 

< Discord 서버에서 명령 받기>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/>

 

 

위 명령은 악성코드에 아래 작업 중 하나를 수행하도록 지시합니다. 

 

- 컴퓨터에서 파일 또는 디렉터리 전체 훔치기

- 드라이브 목록 가져 오기

- 공격자가 감염된 PC에서 명령을 실행할 수 있도록 리버스 셸 오픈하기

- 랜섬웨어 실행하기(현재 개발 중)

- 수집한 모든 정보를 보내고 기존에 수집한 데이터 삭제하기

 

악성코드는 새로운 작업을 시작하기 위해 매 10초마다 C2 서버에 연결합니다.

 

공격자는 디스코드 C2 서버를 통해 새로운 데이터를 지속적으로 모니터링하고 컴퓨터에서 추가 명령 또는 악성코드를 실행할 수 있습니다.

 

기본적인 랜섬웨어 기능 개발 중

 

이 악성코드가 실행 가능한 작업 중 하나는 기본 랜섬웨어를 통해 컴퓨터를 암호화하고 랜섬머니를 받은 후 파일을 해독해주는 것입니다.

 

이 기능의 코드에는 임의로 채운 문자열이 포함되어 있어 아직까지 개발 중인 것으로 보입니다.

 

 

<개발 중인 랜섬웨어 컴포넌트>

<이미지 출처: https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/>

 

 

랜섬웨어는 수익성이 매우 높기 때문에 악성코드가 해당 기능을 포함한다는 사실은 그리 놀랍지 않습니다.

 

현재 알약에서는 해당 악성코드 샘플에 대해 ’Gen:Heur.Ransom.REntS.Gen.1’로 탐지 중입니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-rat-malware-gets-commands-via-discord-has-ransomware-feature/

https://twitter.com/malwrhunterteam/status/1319236824070500353