상세 컨텐츠

본문 제목

인도 정부와 군인을 노리는 새로운 CapraRAT 안드로이드 악성코드 발견

국내외 보안동향

by 알약4 2022. 2. 8. 09:00

본문

New CapraRAT Android Malware Targets Indian Government and Military Personnel

 

정치적 동기를 가진 APT(Advanced Persistent Threat)그룹이 인도의 군사 및 외교 기관을 노리는 스파이 공격에 새로운 RAT를 사용하기 시작한 것으로 드러났습니다.

 

Trend Micro에서 CapraRAT이라 명명한 이 악성코드는 APT36, Operation C-Major, PROJECTM, Mythic Leopard, Transparent Tribe라고도 불리는 공격자인 Earth Karkaddan과 관련된 다른 윈도우 악성코드인 CrimsonRAT과 매우 유사한 안드로이드용 RAT입니다.

 

APT36이 존재한다는 것을 나타내는 첫 번째 구체적 징후는 지난 2016년 해당 그룹이 인도 군인 및 정부 인사를 노려 악성 PDF 파일이 첨부된 피싱 이메일을 통해 정보 탈취 악성코드를 배포하기 시작하면서 나타났습니다. 이 그룹의 출신은 파키스탄으로 추정되며, 최소 2013년부터 운영되고 있었습니다.

 

또한 공격자의 공격 방식은 일관된 것으로 알려져 있습니다. 공격은 주로 소셜 엔지니어링 기법을 사용하고, USB 기반 웜을 진입점으로 사용합니다. 그룹이 사용하는 무기에서 발견된 공통점은 공격자가 해킹된 시스템에 광범위하게 접근할 수 있도록 허용하는 윈도우용 백도어인 CrimsonRAT을 사용한다는 것입니다. 하지만 최근 발생한 캠페인은 ObliqueRAT를 사용하도록 진화했습니다.

 

 

<이미지 출처 : https://www.trendmicro.com/en_us/research/22/a/investigating-apt36-or-earth-karkaddans-attack-chain-and-malware.html>

 

 

CrimsonRAT는 타깃 윈도우 시스템에서 이동식 드라이브의 스크린샷, 키 입력, 이동식 드라이브의 파일 등을 포함한 정보를 얻어 이를 공격자의 명령 및 제어 서버에 업로드하는 것이 주요 목적인 .NET 바이너리입니다.

 

툴 세트에 피싱 링크를 통해 배포되는 또 다른 맞춤형 Android RAT가 추가되었습니다. 유튜브 앱으로 위장한 CapraRAT AndroRAT이라는 오픈소스 RAT을 수정한 것으로 피해자의 위치, 전화 기록, 연락처 등을 수집하는 등 다양한 데이터 유출 기능을 탑재하고 있습니다.

 

해킹 그룹이 안드로이드 RAT를 사용한 것은 이번이 처음은 아닙니다. 2018 5, 파키스탄의 인권 운동가들은 안드로이드 스파이웨어인 StealthAgent를 사용한공격을 받아 전화와 메시지 및 사진을 도난당하고, 위치가 추적되었습니다.

 

이후 2020 Transparent Tribe를 사용한 공격 캠페인에서는 군대를 주제로 한 미끼 콘텐츠를 활용하여 포르노 관련 앱, Aarogya Setu COVID-19 추적 앱의 가짜 버전으로 위장 수정된 버전의 AhMyth Android RAT를 드롭했습니다.

 

사용자가 이러한 공격을 완화하기 위해서는 갑작스러운 이메일에 주의하고, 링크를 클릭하지 않고, 익명 발신자의 이메일 첨부 파일을 다운로드하지 않으며, 신뢰할 수 있는 출처에서만 앱을 설치하고, 앱에서 요청한 권한을 부여할 때 주의를 기울이는 것이 좋습니다.

 

 

 

 

출처:

https://thehackernews.com/2022/02/new-caprarat-android-malware-targets.html

https://www.trendmicro.com/en_us/research/22/a/investigating-apt36-or-earth-karkaddans-attack-chain-and-malware.html (IOC)

관련글 더보기

댓글 영역