상세 컨텐츠
본문
New Borat remote access malware is no laughing matter
새로운 원격 접속 트로이목마(RAT)인 Borat이 다크넷 마켓에서 발견되었습니다. 이는 DDoS 공격, UAC 우회, 랜섬웨어 배포를 수행하기 위한 사용이 쉬운 기능을 제공합니다.
원격 공격자가 Borat을 사용할 경우 피해자의 마우스와 키보드를 완전히 제어하고 파일, 네트워크 지점에 접근하고 그들의 모든 존재 흔적을 숨길 수 있습니다.
이 악성코드는 운영자가 컴파일 옵션을 선택하는 방식을 통해 고도로 커스텀된 공격에 정확히 필요한 기능을 제공하는 작은 페이로드를 생성하도록 돕습니다.
Cyble의 연구원들은 실제 공격에서 Borat을 발견한 후 악성코드의 샘플을 채취해 이를 연구할 수 있었습니다.
<Borat의 기능 중 일부>
폭 넓은 기능
Borat RAT이 판매되고 있는지, 공격자들 사이에서 자유롭게 공유되는지는 확실하지 않습니다. Cycle은 이 악성코드가 빌더, 멀웨어 모듈, 서버 인증서가 포함된 패키지 형태로 제공된다고 밝혔습니다.
<Borat RAT 압축파일 내 파일>
이 트로이 목마의 기능은 아래와 같습니다.
키로깅 – 키 입력 모니터링 및 기록 후 txt 파일에 저장
랜섬웨어 – 피해자의 시스템에 랜섬웨어 페이로드를 배포하고 Borat을 통해 랜섬노트 자동 생성
DDoS – 해킹된 시스템의 리소스를 통해 가비지 트래픽을 타깃 서버로 전송
오디오 녹음 – 가능한 경우 마이크를 통해 오디오를 녹음하고 wav 파일에 저장
웹캠 녹화 – 가능한 경우 웹캠을 통해 비디오 녹화
원격 데스크톱 – 숨겨진 원격 데스크톱을 시작해 파일 작업 수행, 입력 장치 사용, 코드 실행, 앱 실행 등 수행
역방향 프록시 – 원격 운영자의 신원이 노출되는 것을 방지하기 위한 역방향 프록시 설정
장치 정보 – 기본 시스템 정보 수집
프로세스 할로잉(Process hollowing) – 정식 프로세스에 악성코드를 삽입하여 탐지 회피
크리덴셜 탈취 - Chromium 기반 웹 브라우저에 저장된 계정 크리덴셜 탈취
Discord 토큰 탈취 – 피해자의 Discord 토큰 탈취
기타 기능 – 오디오 재생, 마우스 버튼 변경, 바탕 화면 숨기기, 작업 표시줄 숨기기, 마우스 홀딩, 모니터 끄기, 빈 화면 표시, 시스템 행 등으로 피해자를 방해하고 혼란스럽게 하기
<Borat의 추가 기능>
Borat은 위의 기능으로 인해 본질적으로 RAT, 스파이웨어, 랜섬웨어가 되기 때문에 기기에서 다양한 악성 활동을 수행할 수 있습니다.
Bleeping Computer에서 확인 결과 해당 페이로드 실행 파일이 최근 AsyncRAT로 식별되었음을 발견했습니다. 따라서 제작자는 이를 기반으로 작업했을 가능성이 큽니다.
공격자는 일반적으로 게임 및 애플리케이션의 크랙으로 위장한 파일을 통해 악성 툴을 배포하기 때문에, 토렌트 또는 불법 사이트 등 신뢰할 수 없는 출처에서 다운로드 하지 않는 것이 좋습니다.
출처:
https://blog.cyble.com/2022/03/31/deep-dive-analysis-borat-rat/ (IOC)
'국내외 보안동향' 카테고리의 다른 글
| 연구원들, Turla 해커와 관련된 C2 서버를 사용하는 새로운 안드로이드 스파이웨어 발견 (0) | 2022.04.05 |
|---|---|
| GitLab, 공격자가 계정을 하이잭 가능했던 치명적인 취약점 수정 (0) | 2022.04.04 |
| 애플, 긴급 패치로 활발히 악용되는 제로데이 취약점 수정 (0) | 2022.04.01 |
| Zyxel, 방화벽과 VPN 기기에 존재하는 치명적인 취약점 수정해 (0) | 2022.04.01 |
| PJSIP 원격코드실행 취약점(CVE-2021-43299, CVE-2021-43300, CVE-2021-43301, CVE-2021-43302, CVE-2021-43303) 주의! (0) | 2022.03.31 |
댓글 영역