MostereRAT 탐지: 공격자가 AnyDesk와 TightVNC를 악용해 Windows 시스템에 지속적 접근

피싱은 사회공학 공격을 실행하는 가장 일반적인 수단으로 널리 알려져 있습니다. 최근 보안 담당자들은 Windows 장치를 침투시키기 위해 MostereRAT를 전달하는 고도로 타겟팅된 피싱 캠페인을 발견했습니다. 공격자는 고급 탐지 회피 기술과 사회공학을 활용하며, AnyDesk와 TightVNC와 같은 합법적인 원격 접근 소프트웨어를 악용하여 감염된 시스템을 은밀하게 장기간 제어할 수 있습니다.

MostereRAT 공격 탐지

2024년 기준, 피싱은 전 세계 조직에서 탐지된 모든 사이버 공격의 약 25%를 차지했으며, 대부분 악성 링크나 파일 첨부를 통해 전파되었습니다. 피싱으로 인한 금융 피해는 매년 증가하고 있으며, 평균 침해 비용은 약 488만 달러에 달합니다. Windows 사용자를 대상으로 한 MostereRAT 악성코드 캠페인은 피싱이 여전히 공격자에게 신뢰할 수 있는 무기임을 보여주며, 보안 담당자들이 신속하고 적극적인 대응 조치를 취해야 할 필요성을 강조합니다.

SOC Prime 플랫폼에 가입하여 조직에 대한 잠재적 공격을 초기 단계에서 탐지하세요. 이 플랫폼은 MostereRAT 감염과 관련된 TTP를 다루는 전용 Sigma 규칙 세트를 제공합니다. 아래 탐지 규칙 확인 버튼을 눌러 규칙에 접근할 수 있으며, 규칙은 실행 가능한 CTI와 고급 위협 탐지 및 헌팅을 지원하는 완전한 제품군과 함께 제공됩니다.

탐지 규칙 확인

SOC Prime 플랫폼의 모든 규칙은 다수의 SIEM, EDR, 데이터 레이크 솔루션과 호환되며, MITRE ATT&CK® 프레임워크에 매핑되어 있습니다. 또한 각 규칙에는 위협 인텔리전스 참조, 공격 타임라인, 우선 순위 권장 사항 등 자세한 메타데이터가 포함되어 있습니다.

추가로 보안 전문가들은 Uncoder라는 전용 IDE 및 AI 코파일럿을 활용하여 탐지 엔지니어링 업무를 간소화할 수 있습니다. 최신 Uncoder AI 업데이트는 새로운 AI 챗봇 모드와 MCP 도구를 도입하여 사이버 방어자가 탐지 엔지니어링 업무를 엔드 투 엔드로 관리할 수 있도록 지원합니다. 사용자 친화적인 대화형 인터페이스에서 원하는 언어로 프롬프트를 입력하거나 사전 제작된 작업을 선택하여 AI가 환경과 위협 상황에 맞춰 작동하도록 할 수 있습니다. 예를 들어, 보안 담당자는 Fortinet의 최신 보고서를 이용하여 단 한 번의 클릭으로 공격 흐름(Attack Flow)을 생성할 수 있습니다.

MostereRAT 분석

공격자는 종종 악성 활동을 지원하기 위해 합법적인 소프트웨어를 악용합니다. 예를 들어, 널리 사용되는 원격 접근 프로그램 AnyDesk는 공격자 활동에서 흔히 악용되는 대상이 되었습니다.

FortiGuard Labs 연구원들은 최근 고급 회피 기법을 포함한 정교한 피싱 캠페인을 발견했으며, 이를 통해 MostereRAT를 배포하고 Windows 시스템에 장기 은밀 접근을 유지했습니다. 이 캠페인은 Easy Programming Language(EPL)를 사용하여 단계적 페이로드를 제작하며, 악성 활동을 숨기고 보안 방어를 무력화하며, C2 트래픽을 상호 TLS로 보호하고, 추가 페이로드 전달을 위한 여러 기법을 활용합니다. 또한 공격자는 AnyDesk와 TightVNC를 포함한 널리 사용되는 원격 접근 도구를 악용하여 감염 시스템을 완전히 제어합니다.

감염 흐름은 일본 사용자를 대상으로 한 피싱 이메일에서 시작되며, 합법적인 비즈니스 문의처럼 가장하여 수신자가 악성 링크를 클릭하도록 유도합니다. 감염 사이트 방문 시 Word 파일이 자동 또는 수동으로 다운로드되며, 파일에는 내장된 아카이브가 포함됩니다. 피해자는 아카이브를 열고 단일 실행 파일을 실행하도록 안내되며, 이는 wxWidgets GitHub 샘플을 기반으로 제작되었습니다. 이 파일은 RMM 도구와 이미지 등 암호화된 리소스를 C:\ProgramData\Windows에 풀어 놓으며, 단순 SUB 연산을 통해 복호화됩니다.

악성코드는 사용자 시스템에서 지속성을 확보하기 위해 맞춤 RPC 클라이언트(CreateSvcRpc)를 통해 SYSTEM 수준 서비스를 생성합니다. WpnCoreSvc는 시작 시 자동 실행을 보장하며, WinSvc_는 공격자가 제공한 페이로드를 필요 시 실행합니다. 종료 전에는 사회공학을 통해 추가 전파를 위해 가짜 간체 중국어 오류 메시지를 표시합니다.

다음 단계는 악성 파일(svchost.exe 및 svchost.db)을 사용한 EPK 런처를 통해 로드할 모듈을 결정합니다. 권한 상승을 위해 SeDebugPrivilege를 활성화하고 SYSTEM 토큰을 복제하며, TrustedInstaller 계정을 활용하여 관리자 권한으로 프로세스를 실행합니다. 또한 악성코드는 AV 및 EDR 제품과 설치 경로를 하드코딩하여 체계적으로 탐지 및 비활성화합니다. MostereRAT는 Windows Filtering Platform 필터를 활용하여 보안 도구가 탐지 데이터, 로그, 알림을 보내는 것을 차단하는데, 이는 EDRSilencer 레드팀 도구에서 차용한 기술입니다.

지속적인 제어를 위해 악성코드는 Windows 업데이트와 보안을 비활성화하고, 핵심 프로세스를 종료하고, 업데이트 서비스를 중지하며, 시스템 파일을 삭제합니다. AnyDesk, Xray, TigerVNC와 같은 원격 접근 및 프록시 도구를 설정에서 직접 배포합니다. 툴킷에는 RDP Wrapper도 통합되어 있어 공격자가 RDP 설정(예: 다중 세션 로그인)을 레지스트리 변경을 통해 수정하거나 복원할 수 있습니다.

MostereRAT를 전파하는 최신 캠페인은 사회공학을 활용하여 감염을 확산시키며, 고급 공격자 전술로 은밀하게 유지되고 합법적인 원격 접근 도구를 통해 시스템 제어를 확보합니다. 이러한 방법은 탐지와 분석을 어렵게 하므로, 정기적인 솔루션 업데이트와 사회공학 위험에 대한 사용자 인식이 매우 중요합니다. SOC Prime의 AI, 자동화, 실시간 위협 인텔리전스를 기반으로 한 완전한 제품군을 활용하여 피싱 공격과 최신 복잡 위협에 선제적으로 대응하고 강력한 사이버보안 태세를 유지하세요.