Gh0st RAT라는 원격 접속 트로이 목마는 Gh0stGambit이라는 “회피형 드로퍼”에 의해 전달되는 것으로 관찰되었으며, 이는 중국어 사용 Windows 사용자를 대상으로 하는 드라이브바이 다운로드 방식의 일부입니다.
이러한 감염은 Google의 Chrome 브라우저인 것처럼 위장한 악성 설치 패키지를 제공하는 가짜 웹사이트(“chrome-web(.)com”)에서 비롯되는데, 이는 웹에서 소프트웨어를 검색하는 사용자만 singled out되고 있다는 것을 의미합니다.
Ghost RAT은 2008년 이래로 야생에서 발견된 오래된 악성코드로, 주로 중국을 중심으로 한 사이버 간첩 집단이 조직한 캠페인에서 수년에 걸쳐 다양한 변종으로 나타났습니다.
이 트로이 목마의 일부 버전은 이전에 보안이 취약한 MS SQL 서버 인스턴스에 침투하여 숨겨진 오픈소스 루트킷을 설치하는 매개체로 사용되기도 했습니다.
최근 활동을 발견한 사이버 보안 회사 eSentire에 따르면, 중국어 사용자를 표적으로 삼는 것은 “악성 소프트웨어가 데이터 도난과 방어 회피를 위해 중국어 웹 미끼와 중국어 애플리케이션을 사용하는 것”에 근거합니다.
가짜 웹사이트에서 다운로드한 MSI 설치 프로그램에는 두 개의 파일이 포함되어 있습니다. 합법적인 Chrome 설치 실행 파일과 악성 설치 프로그램(“WindowsProgram.msi”)입니다. 악성 설치 프로그램은 Gh0stGambit을 로드하는 셸코드를 실행하는 데 사용됩니다.
그러면 드로퍼는 Gh0st RAT를 검색하기 위해 명령 및 제어(C2) 서버에 접속하기 전에 보안 소프트웨어(예: 360 Safe Guard 및 Microsoft Defender Antivirus)가 있는지 확인합니다.
eSentire는 “Gh0st RAT는 C++로 작성되었으며 프로세스 종료, 파일 제거, 오디오 및 스크린샷 캡처, 원격 명령 실행, 키로깅, 데이터 유출, 루트킷 기능을 통한 레지스트리, 파일 및 디렉토리 숨기기 등 많은 기능을 갖추고 있습니다.”라고 밝혔습니다.
또한 Mimikatz를 삭제하고, 손상된 호스트에서 RDP를 활성화하고, Tencent QQ와 관련된 계정 식별자에 접근하고, Windows 이벤트 로그를 지우고, 360 Secure Browser, QQ Browser, Sogou Explorer에서 데이터를 지울 수 있습니다.
캐나다 회사는 해당 아티팩트 공유가 AhnLab 보안정보센터(ASEC)에서 HiddenGh0st라는 이름으로 추적하는 Gh0st RAT 변종과 겹친다고 밝혔습니다.
eSentire는 “Gh0st RAT는 지난 수년 동안 APT와 범죄 집단에 의해 널리 사용되고 수정되었습니다.”라고 말했습니다. “최근 발견 사항은 이 위협이 드라이브바이 다운로드를 통해 배포되어 사용자를 속여 사기성 웹사이트에서 악성 Chrome 설치 프로그램을 다운로드하도록 하는 것을 강조합니다.”
“드라이브바이 다운로드의 지속적인 성공은 지속적인 보안 교육 및 인식 프로그램의 필요성을 강화합니다.”
Broadcom이 소유한 Symantec은 여러 로더와 스틸러를 다운로드하는 데 사용되는 악성 PowerShell 및 HTML 코드를 생성하는 데 대규모 언어 모델(LLM)을 활용하는 피싱 캠페인이 증가하고 있음을 발견했다고 밝혔습니다.
보안 연구원 응웬 황 지앙과 이 헬렌 장은 이메일에 “Rhadamanthys, NetSupport RAT, CleanUpLoader(Broomstick, Oyster), ModiLoader(DBatLoader), LokiBot, Dunihi(H-Worm) 등 다양한 페이로드를 다운로드하는 데 사용된 코드”가 들어 있다고 말했습니다. “이러한 공격에서 맬웨어를 전달하는 데 사용된 스크립트를 분석한 결과 LLM을 사용하여 생성된 것으로 나타났습니다.”