상세 컨텐츠

본문 제목

새로운 원격 접속 트로이목마인 Borat 발견

국내외 보안동향

by 알약4 2022. 4. 4. 09:00

본문

New Borat remote access malware is no laughing matter

 

새로운 원격 접속 트로이목마(RAT)Borat이 다크넷 마켓에서 발견되었습니다. 이는 DDoS 공격, UAC 우회, 랜섬웨어 배포를 수행하기 위한 사용이 쉬운 기능을 제공합니다.

 

 

< 이미지 출처 : https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/>

 

 

원격 공격자가 Borat을 사용할 경우 피해자의 마우스와 키보드를 완전히 제어하고 파일, 네트워크 지점에 접근하고 그들의 모든 존재 흔적을 숨길 수 있습니다.

 

이 악성코드는 운영자가 컴파일 옵션을 선택하는 방식을 통해 고도로 커스텀된 공격에 정확히 필요한 기능을 제공하는 작은 페이로드를 생성하도록 돕습니다.

 

Cyble의 연구원들은 실제 공격에서 Borat을 발견한 후 악성코드의 샘플을 채취해 이를 연구할 수 있었습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/>

<Borat의 기능 중 일부>

 

 

폭 넓은 기능

 

Borat RAT이 판매되고 있는지, 공격자들 사이에서 자유롭게 공유되는지는 확실하지 않습니다. Cycle은 이 악성코드가 빌더, 멀웨어 모듈, 서버 인증서가 포함된 패키지 형태로 제공된다고 밝혔습니다.

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/>

<Borat RAT 압축파일 내 파일>

 

 

이 트로이 목마의 기능은 아래와 같습니다.

 

키로깅  키 입력 모니터링 및 기록 후 txt 파일에 저장

랜섬웨어  피해자의 시스템에 랜섬웨어 페이로드를 배포하고 Borat을 통해 랜섬노트 자동 생성

DDoS – 해킹된 시스템의 리소스를 통해 가비지 트래픽을 타깃 서버로 전송

오디오 녹음  가능한 경우 마이크를 통해 오디오를 녹음하고 wav 파일에 저장

웹캠 녹화  가능한 경우 웹캠을 통해 비디오 녹화

원격 데스크톱  숨겨진 원격 데스크톱을 시작해 파일 작업 수행, 입력 장치 사용, 코드 실행, 앱 실행 등 수행

역방향 프록시  원격 운영자의 신원이 노출되는 것을 방지하기 위한 역방향 프록시 설정

장치 정보  기본 시스템 정보 수집

프로세스 할로잉(Process hollowing) – 정식 프로세스에 악성코드를 삽입하여 탐지 회피

크리덴셜 탈취 - Chromium 기반 웹 브라우저에 저장된 계정 크리덴셜 탈취

Discord 토큰 탈취  피해자의 Discord 토큰 탈취

기타 기능  오디오 재생, 마우스 버튼 변경, 바탕 화면 숨기기, 작업 표시줄 숨기기, 마우스 홀딩, 모니터 끄기, 빈 화면 표시, 시스템 행 등으로 피해자를 방해하고 혼란스럽게 하기

 

 

<이미지 출처 : https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/>

<Borat의 추가 기능>

 

 

Borat은 위의 기능으로 인해 본질적으로 RAT, 스파이웨어, 랜섬웨어가 되기 때문에 기기에서 다양한 악성 활동을 수행할 수 있습니다.

 

Bleeping Computer에서 확인 결과 해당 페이로드 실행 파일이 최근 AsyncRAT로 식별되었음을 발견했습니다. 따라서 제작자는 이를 기반으로 작업했을 가능성이 큽니다.

 

공격자는 일반적으로 게임 및 애플리케이션의 크랙으로 위장한 파일을 통해 악성 툴을 배포하기 때문에, 토렌트 또는 불법 사이트 등 신뢰할 수 없는 출처에서 다운로드 하지 않는 것이 좋습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-borat-remote-access-malware-is-no-laughing-matter/

https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/ (IOC)

관련글 더보기

댓글 영역