Quasar RAT: 악성 후계자 탐지
목차:
Quasar 원격 관리 도구(RAT)는 2014년부터 APT 행위자들이 활발히 사용해 온 다기능 경량 악성코드입니다. Quasar의 코드는 오픈 소스 프로젝트로 공개되어 있으며, 이 트로이 목마는 광범위한 사용자 정의 옵션 덕분에 적대자들 사이에서 매우 인기가 많습니다. 그 결과, Quasar 악성코드 군에는 다양한 샘플이 존재합니다. 이들 중 다수는 국가 지원 행위자들이 그들의 악의적인 캠페인에서 사용했습니다. Quasar 감염을 목표로 한 최신 악명 높은 작전은 APT10에 의해 시작되었습니다.
Quasar RAT 설명
Quasar는 처음에는 사용 지원 및 직원 모니터링을 위한 합법적인 Windows 유틸리티로 개발된 원격 액세스 도구입니다. 사실, 개발자는 홍보합니다 Quasar를 대부분의 Windows 버전과 호환되는 관리자용 사용하기 쉽고 안정적인 원격 액세스 솔루션으로, 이 도구의 첫 번째 변형은 2014년 7월 ‘xRAT’이라는 이름으로 출시되었으나, 2015년에 Quasar로 이름이 변경되었습니다. 이는 합법적인 소프트웨어와 악의적인 변종을 구별하려는 시도로 보입니다.
도구가 2015년 GitHub에서 무료 다운로드로 출시된 이후, 위협 행위자들은 이 다기능 및 사용자 지정 가능한 솔루션에 눈을 돌렸습니다. 예를 들어, 2017년 가자 사이버 갱단 그룹은 활용했습니다 Quasar RAT를 중동 전역의 정부를 대상으로 삼았습니다. 2018년에는 Patchwork APT가 공격했습니다 미국 싱크탱크를. 2019년에는 이 악성코드가 발견되었습니다 우크라이나 정부 및 군대를 대상으로 한 정교한 악의적인 캠페인에서. 마지막으로, 2020년 말 연구원들이 밝혔습니다 ATP10의 일본 전역의 업계 선두 기업들을 목표로 한 장기적인 작전을. 주목할만한 것은, 중국 국가 지원 APT10 그룹(Cicada, Stone Panda)은 2016년대로 돌아가 Quasar를 도구에 추가하여 맞춤 제작된 버전을 사용하여 데이터를 영구적으로 도용하고 있다는 것입니다.
최신 APT10 캠페인은 일본의 주요 자동차, 제약 및 엔지니어링 벤더들을 대상으로 Quasar RAT를 사용했습니다. 전 세계 17개 지역에 위치한 자회사들도 정탐 목적으로 공격받았습니다. 위협 행위자들은 약간 다른 위협의 맞춤 버전을 사용했습니다. 특히, 적대자들은 추가 플러그인 모듈을 다운로드하는 기능을 추가하여, 악성코드를 동적으로 변경되는 목표에 쉽게 적응할 수 있도록 만들었습니다. 또한, 통신 및 암호화 루틴이 변경되었습니다.
Quasar RAT: 공격 킬체인
Quasar RAT는 다양한 해커들에 의해 널리 채택되었기 때문에, 스크립트키디에서 APT에 이르기까지 많은 사용자 정의 버전을 사이버 위협 환경에서 찾을 수 있습니다. 그 목록 계승자는 CinaRAT, QuasarStrike, VenomRAT, VoidRAT, AsyncRAT 등을 포함합니다. 그러나 대부분의 악성 샘플은 동일한 공격 루틴을 따릅니다.
Quasar는 일반적으로 악성 파일이 첨부된 스팸 또는 피싱 이메일의 도움을 받아 전달됩니다. Quasar는 취약점 익스플로잇을 포함하지 않기 때문에 이와 같은 접근 방식이 합리적입니다. 해커는 Quasar를 사용하기 전에 대상 인스턴스를 손상시키기 위해 다른 악성코드나 기술을 적용해야 합니다.
실행 시, Quasar RAT는 두 가지 방법으로 지속성을 확보합니다: 예약 작업 및 레지스트리 키. 또한, 악성코드는 관리자 권한으로 명령 프롬프트(cmd.exe)를 실행하여 권한을 상승시킵니다. Windows 사용자 계정 컨트롤(UAC)이 구성된 경우, 악성코드는 명령 프롬프트를 수락하도록 피해자에게 UAC 팝업을 유발합니다. 마지막으로, Quasar RAT는 데이터 도난 활동을 시작합니다. 이 트로이 목마는 작업 및 파일 관리, 파일 다운로드, 연결 종료, 프로세스 종료, 명령 실행, 원격 데스크톱 연결 열기, 스크린샷 찍기, 웹캠 녹화, 키로깅, 비밀번호 덤프 등을 포함하는 상당히 광범위한 기능을 제공합니다.
Quasar 탐지
Quasar 악성코드 군 샘플로부터의 탐지 및 사전 방어를 강화하기 위해, 우리의 위협 현상금 개발자 Osman Demir 전용 Sigma 규칙을 출시했습니다:
https://tdm.socprime.com/tdm/info/WWXWHb1OJ3yt/Eb9NTncBR-lx4sDxFU7L/#rule-context
이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
MITRE ATT&CK:
전술: 실행, 지속성, 권한 상승
기법: 예약된 작업 (T1053)
구독 신청 위협 탐지 마켓플레이스에 구독하여 사이버 공격 탐지 시간을 줄이고, 90,000개 이상의 SOC 콘텐츠 라이브러리를 통해 운영할 수 있습니다. 이 콘텐츠 기반은 공격 라이프사이클의 초기 단계에서 가장 심각한 사이버 위협을 탐지하기 위해 매일 풍부해집니다. 자신만의 콘텐츠를 만들고 싶으십니까? 위협 현상금 커뮤니티에 가입하여 더 안전한 미래를 만드세요!
