새로운 FatalRAT 모델: 퍼플 폭스 해커들이 봇넷 인프라를 확장하고 있습니다

퍼플 폭스 멀웨어 는 2018년부터 개인 컴퓨터에 다양한 혼란을 야기하고 있으며, 전 세계적으로 30,000대 이상의 기기를 감염시켰습니다. 최신 연구 에 따르면 퍼플 폭스 해커들은 인프라를 지속적으로 개선하고 새로운 백도어를 추가하고 있습니다.

봇넷 규모를 확장하기 위해 퍼플 폭스는 합법적인 소프트웨어 패키지로 가장하는 트로이 목마 설치 프로그램을 배포하고 있습니다. 문제는 공격자들이 초기 액세스 로더를 이용한 새로운 진입 벡터를 개발했다는 것입니다.

업그레이드된 멀웨어 FatalRAT는 안티바이러스 우회를 위한 서명된 루트킷을 갖춘 새로운 변종 원격 액세스 트로이 목마입니다.

FatalRAT 감지

우리의 최신 시그마-기반 감지 Nattatorn Chuensangarun 은 퍼플 폭스 멀웨어 운영자가 보안 소프트웨어를 우회하기 위해 재구성한 FatalRat 행동을 감지합니다.

보안 소프트웨어 우회를 통해 발생할 수 있는 FatalRAT 행동 (via process_creation)

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10에 맞춰져 있으며, 프로세스 발견 (T1057), 명령 및 스크립팅 인터프리터 (T1059), 프로세스 인젝션 (T1055) 기술을 포함합니다.

우리의 뛰어난 Threat Bounty 개발자 Emir Erdogan 이 만든 또 다른 시그마 규칙은 FatalRat 레지스트리 행동을 감지합니다.

FatalRAT 행동 가능성 (via reg.exe)

이 규칙은 레지스트리 수정 (T1112) 및 혼합 파일 또는 정보 (T1027) MITRE ATT&CK® 기술에 대응합니다.

현재 사용 가능한 모든 탐지 콘텐츠 목록에 즉시 액세스하여 새로운 변종 FatalRAT 의 잠재적 공격을 탐지할 수 있습니다. 탐지를 보고 SOC 프라임 플랫폼에 로그인하면 됩니다. 당신이 보안 연구원이나 엔지니어라면 Threat Bounty 프로그램에 기여하여 전문 지식을 공유할 수 있습니다. SOC Prime platform account. And if you are a security researcher or an engineer, you can share your expertise by contributing to our Threat Bounty program.

탐지 보기 Threat Bounty 가입

FatalRAT 분석

FatalRAT의 첫 번째 단계 로더는 Telegram, Chrome, Adobe, WhatsApp 같은 애플리케이션 로더와 유사한 소프트웨어 패키지 안에 숨겨져 있습니다. 실행 파일 이름의 끝에 있는 문자 하나가 특정 페이로드와 일치합니다. 두 번째 단계 페이로드 요청은 이 단일 문자에서 시작되며 첫 번째 EXE가 C&C 서버로 보내게 됩니다.

이전 캠페인과 마찬가지로 퍼플 폭스는 C&C 서버를 운영하기 위해 HTTP 파일 서버(HFS)를 사용하며, 감염된 기계를 봇으로 사용하는 파일을 호스팅합니다. 노출된 HFS 서버 중 하나가 연구원에 의해 분석되었고, 소프트웨어 패키지가 고빈도로 업데이트되고 있는 것을 보여주었습니다. 약 9일마다 25개의 패키지가 업데이트되고 있습니다. 2022년 3월 말 기준으로 이 프로세스는 여전히 실행 중입니다.

FatalRAT는 공격자에게 광범위한 원격 액세스 기능을 제공하는 C++ 기반 임플란트입니다. 감염된 시스템을 스캔한 결과와 봇넷의 특정 목표에 따라 다양한 종류의 모듈을 다운로드하고 실행할 수 있습니다. FatalRAT의 실행은 레지스트리 키나 안티바이러스 에이전트를 발견하면 조정됩니다.

안티바이러스 우회에는 다양한 기능을 갖춘 이식 가능한 실행 모듈(PE) 사용도 포함됩니다. 예를 들어, 최근 FatalRAT 클러스터 중 하나는 이전에 문서화된 퍼플 폭스 MSI 설치 프로그램과의 연결을 보여주고 있습니다. 그 밖에도 다양한 루트킷 기능을 추가 PE 모듈에서 보여주며, 다양한 시스템 API 주소를 파싱하고 이전 페이로드에서 다른 시스템 API를 해석할 수 있는 능력을 갖추고 있습니다.

퍼플 폭스의 최근 활동은 FatalRAT의 확장된 기능으로 인해 SOC 팀의 특별한 주의를 요할 수 있습니다. 사용자 모드 쉘코드 로더는 네이티브 로더에 의존하지 않으며 실행 후 법적 증거를 최소화합니다. 법적 증거가 거의 없어 FatalRAT의 지속적인 활동을 추적하는 것은 특히 어려워집니다. 게다가 멀웨어는 합법적인 코드 서명 인증서와 보호되지 않은 Windows 커널 드라이버를 악용하고 있습니다. SOC 프라임의 Detection as Code 플랫폼 을 활용하여 SOC 팀이 가장 최근의 감지 콘텐츠를 최단 시간 내에 구현할 수 있도록 하십시오.