새로운 QRAT 변종, 트럼프 테마의 스팸 캠페인 통해 배포
목차:
사이버 범죄자들은 끊임없이 ‘가장 인기 있는’ 미디어 주제를 이용하여 피해자를 유혹하고 악성코드로 감염시킵니다. 이번에 해커들은 미국 대통령 선거에 대한 관심이 증가한 것을 이용하여 도널드 트럼프 테마의 스팸 캠페인을 시작했습니다. 이 작전의 최종 목표는 최신 QRAT 트로이 목마 변종인 QNode를 배포하는 것입니다. 전작과 마찬가지로, QNode는 비밀번호 덤핑, 사용자의 민감한 데이터 추출, 피해자 기계에 대한 원격 제어를 수행할 수 있습니다.
QRAT 악성코드란 무엇인가?
Quaverse 원격 접근 트로이 목마 (QRAT)는 처음 등장했습니다 2015년 5월에 막대한 난독화된 자바 기반의 악성코드로, 다크 웹에서 ‘악성코드-서비스-제공 모델'(MaaS)로 홍보되었습니다. 이 트로이 목마는 일반적으로 자바 아카이브(JAR) 첨부파일 형태의 피싱 사기로 배포됩니다. 다운로드될 경우, JAR 파일은 지속성과 최종 페이로드 실행을 담당하는 Node.JS 2차 로더를 가져옵니다. 주요 페이로드는 또한 Node.Js로 작성되어 있으며, Allatori Obfuscator로 코드 모듈이 숨겨져 있어 탐지를 피합니다. 특히, QRAT 다운로더는 윈도우 환경에서만 공격할 수 있습니다. 하지만, Node.Js 구성은 곧 새로운 크로스 플랫폼 변종이 등장할 수 있음을 시사합니다.
QRAT 트로이 목마의 악성 무기고는 꽤 인상적입니다. 특히, 이 악성코드는 시스템 애플리케이션에서 비밀번호를 덤프하고, 스크린샷을 찍으며, 키로깅을 수행하고, 파일을 탐색할 수 있습니다. 결과적으로, 적들은 목표 기계에 완전한 접근 권한을 얻고 광범위한 민감한 데이터를 획득할 수 있습니다.
QNode 악성 이메일 캠페인
보안 연구원들은 QRAT 악성코드 감염을 목표로 한 피싱 캠페인의 큰 증가를 관찰하고 있습니다. 주목받고 있는 최신 피싱 작전은 꽤 흥미롭습니다. 공격은 ‘좋은 대출 제안!!’이란 제목의 피싱 이메일로 시작됩니다. 비록 이것이 전형적인 투자 사기처럼 보이지만, 첨부파일은 이 주제와 전혀 관련이 없습니다. 특히, ‘TRUMP_SEX_SCANDAL_VIDEO’라는 이름을 가지고 있어 퇴임하는 미국 대통령을 둘러싼 주목할 만한 과대광고를 이용하려는 시도로 보입니다. 다운로드될 경우, 악성 파일은 피해자의 PC에 QNode, 최신 QRAT 변종을 감염시킵니다.
QNode 분석 결과, 악성 코드 운영자들은 트로이 목마의 기능을 크게 개선했습니다. QNode 다운로더를 더 은폐하기 위해, 그 코드는 이제 JAR 내부의 여러 파일에 걸쳐 분할되어 있습니다. 또한, GUI와 가짜 Microsoft ISC 라이선스가 추가되어 악성 코드 설치가 덜 의심스럽게 보이도록 했습니다. 마지막으로, 악성 코드에 의해 생성 및 로드된 파일은 이제 Node.JS 설치 폴더에서 옮겨져 이름이 변경되었습니다. 이러한 개선은 QNode가 레이더를 피해 운영될 수 있도록 도와줍니다. QNode의 악성 기능은 이전 버전과 거의 동일하여 Chrome, Firefox, Thunderbird 및 Outlook의 비밀번호 덤핑을 지원합니다.
QRAT 악성코드 탐지
QRAT 트로이 목마 탐지 기능을 강화하기 위해, 최신 Sigma 규칙을 다운로드할 수 있습니다 Osman Demir는 우리의 위협 탐지 마켓플레이스 SOC 콘텐츠 라이브러리에 가장 많은 기여를 한 사람 중 한 명입니다:
https://tdm.socprime.com/tdm/info/b9Lq6emcCgOs/y8eY9nYBTwmKwLA9R8cw/
이 규칙은 다음 플랫폼에 대한 번역을 제공합니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
EDR: Microsoft Defender ATP, Carbon Black
MITRE ATT&CK:
전술: 초기 접근, 방어 회피
기술: 스피어피싱 첨부파일 (T1566), 파일 및 디렉터리 권한 변경 (T1222)
구독 위협 탐지 마켓플레이스를 무료로 구독하여, 특정 CVE, APT 그룹이 사용하는 TTP, 다양한 MITRE ATT&CK® 파라미터와 태그된 관련 SOC 콘텐츠 항목에 도달하십시오. 위협 사냥 이니셔티브에 기여할 준비가 되었습니까? 우리의 위협 현상금 프로그램 에 참여하여 SOC 콘텐츠 라이브러리를 풍부하게 하고 위협 탐지 마켓플레이스 커뮤니티와 공유하십시오.
