반독 RAT 개요
보안 연구원들은 최근 Windows 운영 체제를 손상시킬 목적으로 피싱 공격을 통해 확산되는 새로운 원격 액세스 트로이목마(RAT)인 반두크(Bandook)의 변종을 관찰했으며, 이는 멀웨어의 끊임없는 진화를 보여주는 현상입니다.
포티넷 포티가드랩이 캠페인은 2023년 10월에 발견되었는데, 이 멀웨어가 비밀번호로 보호된 .7z zip 파일로 연결되는 링크가 포함된 PDF 파일을 통해 배포되었다는 점에 주목했습니다.
보안 연구원 페이한 리아오는 "피해자가 PDF 파일에 제공된 암호를 사용하여 멀웨어의 압축을 풀면 소프트웨어가 msinfo32.exe에 로드를 주입합니다."라고 설명합니다.
2007년에 처음 발견된 반두크는 감염된 시스템을 원격으로 제어할 수 있는 다양한 기능을 갖춘 본격적인 멀웨어입니다.
사이버 보안정보 수집
2021년 7월, 슬로바키아사이버 보안ESET은 다음과 같이 자세히 밝혔습니다.인터넷 트롤(에이전트 도발자)업그레이드된 버전의 반독 변종을 사용한 이 캠페인은 베네수엘라 등 스페인어권 국가의 기업 네트워크에 침투했습니다.
반독 RAT에 대한 최신 공격
최신 공격 시퀀스는 시스템 정보를 수집하고 컴퓨터 문제를 진단하는 데 사용되는 합법적인 Windows 시스템 파일인 msinfo32.exe에 페이로드를 복호화하여 로드하도록 설계된 주입 구성 요소로 시작됩니다.
이 멀웨어는 Windows 레지스트리를 수정하여 감염된 호스트에서 지속성을 보장할 뿐만 아니라, 명령 및 제어(C2) 서버와 연결을 설정하여 추가 페이로드를 확보하고 명령을 실행합니다.
페이한 리아오는 "이러한 행위는 크게 파일 조작, 레지스트리 조작, 다운로드, 정보 탈취, 파일 실행, C2 서버에서 동적 링크 라이브러리(DLL)의 함수 호출, 피해자의 컴퓨터 제어, 프로세스 종료, 멀웨어 제거로 분류할 수 있습니다."라고 덧붙였습니다.
최고 보안 책임자의 원본 기사, 복제할 경우 출처 표시: https://www.cncso.com/kr/bandook-rat-variant-targets-windows-system-security-in-attack.html
