NonEuclid RAT 탐지: 악성코드가 공격자가 표적 시스템에 대한 무단 원격 액세스 및 제어를 가능하게 함

현대의 사이버 위협 환경은 공격자에게 대상 시스템에 대한 완전한 원격 제어를 가능하게 하는 멀웨어 변종의 증가로 특징지어지며, 악의적인 Remcos RAT 은 피싱 공격 벡터를 통해 확산됩니다. 2025년 1월, 방어자들은 새로운 스텔스 멀웨어 NonEuclid RAT를 밝혀냈으며, 이는 고급 탐지 회피 기술, 권한 상승, 랜섬웨어 암호화와 같은 정교한 공격 역량을 갖추고 있습니다.

NonEuclid RAT 공격 탐지

지난해 사이버 보안 연구자들은 전 세계 멀웨어 양이 30% 증가한 것을 기록했으며, 이는 2023년과 비교하여 전 세계적으로 악성 활동이 지속적으로 증가하고 있다는 점을 부각합니다. 이러한 급증은 사이버 위협의 증가하는 정교함과 보안 팀이 직면한 증가하는 도전을 강조합니다.

새로운 위협에 효과적으로 대응하기 위해 사이버 방어자는 실시간 공격 패턴 통찰력을 제공하는 CTI로 풍부해진 탐지 규칙에 접근할 필요가 있습니다. SOC Prime 플랫폼 에 의존하여 NonEuclid RAT와 같은 새로운 위협에 대한 탐지 콘텐츠를 제공하며, 고급 위협 탐지 및 사냥을 위한 완전한 제품군으로 팀을 무장시키는 집단 사이버 방어를 위한 것입니다.

아래 탐지 탐색 버튼을 클릭하여 NonEuclid RAT 공격을 다루는 Sigma 규칙 세트로 즉시 탐색하십시오. 모든 규칙은 MITRE ATT&CK 프레임워크 에 매핑되어 있으며 30개 이상의 SIEM, EDR 및 데이터 레이크 솔루션과 호환됩니다. 또한, 규칙은 위협 인텔 참조, 미디어 링크, 공격 타임라인 등을 포함하여 광범위한 메타데이터로 보강됩니다.

탐지 탐색

NonEuclid RAT 분석

CYFIRMA 연구원들은 최근 새로운 수준의 멀웨어 복잡성을 보여주는 신흥 위협을 밝혀냈습니다. NonEuclid RAT는 .NET Framework 4.8 용으로 설계된 스텔스 C# 기반의 새로운 멀웨어로, 랜섬웨어 암호화, 권한 상승, 향상된 탐지 회피 기능과 같은 고급 기능을 통해 피해자 환경에 대한 비인가 원격 액세스를 제공하면서 탐지를 피하도록 설계되었습니다.

이 멀웨어는 해킹 포럼과 소셜 미디어에서 널리 홍보되고 있으며, 스텔스 기능, 동적 DLL 로딩, 반 VM 검사 및 AES 암호화로 주목받고 있습니다. “NAZZED”라는 가명을 사용하는 개발자는 2021년 10월부터 NonEuclid를 홍보해 왔습니다. CYFIRMA는 러시아 포럼과 디스코드 채널 전반에서 널리 광고, 판매 및 논의되었다고 지적하며, 이는 사이버 범죄 집단에서의 인기도와 고급 공격에서의 사용을 부각합니다.

멀웨어 코드는 다양한 보안, 탐지 방지 및 지속성 기능을 사용하여 클라이언트 애플리케이션을 초기화합니다. 실행 지연과 설정 로딩으로 시작합니다. 설정이 실패하면 종료합니다. 이 앱은 관리자 권한을 보장하며 탐지 방지 스캔을 수행하고 중복 인스턴스를 방지하기 위해 뮤텍스를 사용합니다. 안티 프로세스 차단 및 로그가 활성화되며, 클라이언트 소켓은 서버 통신을 처리하고 연결이 끊어지면 지속적으로 재연결을 시도합니다.

TCP 소켓은 연결을 시작하며, 버퍼 크기를 조정하고 지정된 IP와 포트를 연결하려고 시도합니다. 성공하면 소켓을 NetworkStream으로 묶고, 지속적인 유지 및 응답 패킷에 대한 타이머를 설정하며, 비동기 데이터 읽기를 시작합니다. 연결 속성은 헤더, 오프셋 및 간격이 구성되며 실패한 연결은 상태를 거짓으로 설정합니다.

NonEuclid RAT는 탐지를 우회하고 권한을 상승시키며 영향을 받은 컴퓨터에 지속성을 확립하기 위해 폭넓은 공격 도구를 적용합니다. 멀웨어의 AntiScan 방법은 멀웨어의 서버 및 실행 파일처럼 파일을 검색하지 않도록 레지스트리에 제외를 추가하여 Windows Defender를 우회합니다. Block 방법은 “Taskmgr.exe” 및 “ProcessHacker.exe”와 같은 프로세스를 Windows API 호출을 사용하여 모니터링하고 종료합니다. 멀웨어는 명령을 설정된 간격으로 실행하기 위해 명령 창을 숨기는 예약 작업을 생성합니다. Bypass 방법은 Windows 레지스트리를 수정해 제한을 우회하며, 관리자 권한이 부여되면 보조 실행 파일을 실행합니다. HKCU 방법은 주어진 값으로 HKEY_CURRENT_USER 아래의 레지스트리 키를 업데이트합니다.

랜섬웨어 암호화 도구의 경우 공격자는 “.csv”, “.txt”, 및 “.php” 파일 형식을 AES로 암호화하고, 확장자를 “.NonEuclid”로 변경합니다. 실행 시, NonEuclid는 별도의 폴더에 두 개의 실행 파일을 투하하며, 이는 작업 스케줄러를 통해 자동으로 실행되도록 설정됩니다. 이로 인해 시스템이 재부팅되거나 프로세스를 종료하려는 시도가 있어도 멀웨어가 계속 작동할 수 있습니다.

여러 인기 있는 플랫폼에서의 멀웨어 중심 논의를 통해 주도된 NonEuclid RAT의 인기도 증가는 공격적인 사용을 확대하려는 조직적인 노력을 나타내며, 사이버 보안 전문가의 철저한 경계를 요구합니다. 이러한 위협에 대한 방어는 사전 전략, 지속적인 모니터링 및 진화하는 사이버 범죄 전술에 대한 인식이 필요합니다. SOC Prime 플랫폼 집단 사이버 방어는 첨단 탐지 엔지니어링, 사전 위협 탐지 및 자동화된 위협 사냥을 위해 최첨단 기술을 글로벌 조직에 제공합니다. Emerging Threats 피드를 활용하여 보안 팀은 실행 가능한 위협 인텔, 관련 탐지 규칙 및 AI로 강화된 컨텍스트의 중앙화된 소스에 즉시 접근하여 항상 적보다 앞서고 대처할 수 있습니다.