STRRAT RAT spreads masquerading as ransomware
마이크로소프트 보안 인텔리전스 연구원들이 STRRAT으로 추적되는 원격 액세스 트로이목마(RAT)을 확산시키는 악성코드 캠페인을 발견했습니다.
이 RAT은 랜섬웨어 공격으로 위장하여 피해자의 데이터를 훔치도록 설계된 것으로 나타났습니다.
자바를 기반으로 한 STRRAT RAT은 대규모 스팸 캠페인을 통해 배포되었으며, 악성코드는 실제로 파일을 암호화하지 않고 파일명에 .crimson 확장자를 추가합니다.
마이크로소프트에 따르면 이 캠페인의 배후에 있는 공격자들은 해킹된 이메일 계정을 사용하여 PDF 첨부파일로 위장한 이미지가 포함된 스팸 메시지를 발송했습니다.
이미지를 열면 악성코드가 STRRAT RAT을 다운로드하기 위한 도메인으로 연결합니다.
연구원들은 STRRAT 버전 1.5가 이전보다 훨씬 난독화 및 모듈화되어 있음을 발견했습니다. 이 악성코드는 브라우저 비밀번호 수집, 원격 명령 및 PowerShell 실행, 키 입력 로깅 등 여러 기능을 지원합니다.
STRRAT은 2020년 6월 G DATA에서 처음으로 발견했습니다.
당시 연구원들은 보고서를 발표해 아래와 같이 언급했습니다.
“이 RAT은 브라우저 및 이메일 클라이언트의 크리덴셜을 훔치는데 집중합니다. 이는 Firefox, Internet Explorer, Chrome, Foxmail, Outlook, Thunderbird를 포함한 브라우저 및 이메일 클라이언트를 지원합니다.”
G DATA의 전문가는 이 악성코드가 파일에 .crimson 확장자를 붙여 이름을 변경하기만 한다는 사실을 발견했습니다.
“하지만 그들이 주장하는 '암호화'는 파일 끝에 .crimson 확장자를 붙여 단순히 이름을 변경하는 것 뿐이었습니다. 해당 파일을 더블클릭 했을 때 실행할 수 없기 때문에 이 방법이 효력을 발휘할 가능성은 있습니다. 윈도우는 파일을 오픈할 때 확장자를 통해 알맞은 프로그램을 찾기 때문입니다. 확장자를 제거할 경우 평소처럼 파일을 열 수 있습니다.”
“이 RAT의 클라이언트는 랜섬노트 템플릿을 포함하고 있지 않습니다. 공격자는 show-msg 명령을 통해 원하는 메시지를 표시할 수 있습니다. 서버가 랜섬노트 템플릿을 제공하는 것 또한 가능합니다.”
마이크로소프트의 연구원들은 관리자가 STRRAT의 관련 지표 및 악성 행동을 찾는데 사용할 수 있는 헌팅 쿼리를 게시했습니다.
현재 이스트시큐리티 알약(ALYac)에서는 해당 악성코드 샘플을 'Trojan.Java.Adwind', 'Trojan.Downloader.VBS.Agent', 'Misc.Riskware.RemoteAdmin'로 탐지 중입니다.
출처:
https://securityaffairs.co/wordpress/118118/malware/strrat-rat-masquerading-ransomware.html
https://twitter.com/MsftSecIntel/status/1395138347601854465
알래스카 보건국, 악성코드 공격 받아 (0) | 2021.05.24 |
---|---|
중국 정부, 사용자 권리 침해한 앱 90개 삭제 고시 (0) | 2021.05.21 |
안드로이드 앱 23개, 1억 이상 사용자의 개인 데이터 노출시켜 (0) | 2021.05.21 |
Judge 랜섬웨어의 변종인 NoCry 랜섬웨어 발견 (0) | 2021.05.20 |
안드로이드 스토커웨어에서 개인정보 위협하는 취약점 발견 (0) | 2021.05.18 |
댓글 영역