베놈RAT 탐지: 악성 플러그인을 활용하여 최종 페이로드를 배포하기 위한 스크럽크립트를 사용하는 새로운 다단계 공격

사이버 보안 연구원들은 ScrubCrypt 안티-멀웨어 회피 도구를 이용하여 VenomRAT와 여러 유해한 플러그인을 떨어뜨리는 새로운 고급 다단계 공격을 공개했습니다. 여기에는 악의적인 Remcos, XWorm, NanoCore RAT, 그리고 다른 악성 변종들이 포함됩니다.

ScrubCrypt를 통해 배포된 VenomRAT 탐지

사이버 공격이 증가하고 점점 더 정교한 침입 방법을 사용하는 가운데, 사이버 수비수들은 대규모로 사이버 방어 역량을 강화하기 위해 고급 솔루션을 필요로 합니다. SOC Prime Platform은 집단 사이버 방어를 위한 위협 탐지 및 사냥을 위한 최첨단 기술을 제공하며 최신 TTP에 대한 행동 기반 탐지를 위한 세계 최대의 저장소로서 역할을 합니다.

최신 ScrubCrypt 캠페인과 관련된 악의적인 활동을 쉽게 파악하기 위해, 보안 전문가들은 SOC Prime Platform에서 제공하는 큐레이션된 탐지 스택에 의존할 수 있습니다. 아래의 탐지 탐색 버튼을 누르면 28개의 SIEM, EDR, 및 데이터 레이크 기술과 호환되는 관련 Sigma 규칙 목록으로 즉시 자세히 살펴볼 수 있습니다. 모든 탐지는 MITRE ATT&CK 프레임워크 버전 14.1에 매핑되어 있으며, 맞춤형 위협 인텔리전스로 강화되었습니다.

탐지 탐색

추가로, 사이버 보안 전문가들은 ¨VenomRAT¨ 태그를 사용하거나 이 링크.

를 사용하여 Threat Detection Marketplace에서 VenomRAT 공격을 다루는 탐지 콘텐츠를 검색할 수 있습니다.

ScrubCrypt 공격 분석을 통한 VenomRAT 확산 보고서를 발행했습니다 새로운 고급 공격 캠페인이 피싱 공격 벡터를 통해 시작되었음을 밝히며. 해커들은 ScrubCrypt 프레임워크를 이용해 VenomRAT 페이로드를 배포하며 여러 겹의 난독화 및 회피 기술을 사용하는 다른 악성 플러그인 세트를 배포합니다.

감염 체인은 유해한 SVG 파일이 포함된 피싱 이메일로 시작됩니다. 이메일 내의 유인물 첨부 파일을 클릭하면 BatCloak 유틸리티로 난독화된 배치 파일이 포함된 ZIP 아카이브 다운로드로 이어집니다. 그 후 해커들은 ScrubCrypt를 적용하여 VenomRAT와 더 많은 유해한 플러그인을 손상된 시스템에 배포함과 동시에 C2 서버와 연결을 설정합니다.

ScrubCrypt를 통해 전달된 초기 페이로드는 지속성을 수립하고 대상 멀웨어를 로딩하는 두 가지 주요 목적을 수행합니다. 수정된 형태의 악성 Quasar RAT, VenomRAT는 2020년부터 사이버 위협 분야에서 포착되었습니다. 이는 적들이 영향을 받은 시스템에 불법적으로 접근하고 통제할 수 있게 합니다. 다른 RAT와 유사하게, VenomRAT는 공격자들에게 피해자의 인지나 허가 없이 유해한 활동을 촉진하기 위해 손상된 장치를 원격으로 조작할 수 있는 능력을 제공합니다.

VenomRAT 외에도 해커들은 난독화된 VBS 파일을 이용하여 영향을 받은 인스턴스에 NanoCore RAT 를 확산시킵니다. 그들은 또한 XWorm RAT를 떨어뜨리는데, 이는 민감한 데이터를 훔치거나 원격 접근을 가능하게 하는 멀웨어입니다. 이 공격 캠페인에서 사용되는 네 번째 플러그인은 우크라이나를 대상으로 한 피싱 캠페인에서 적극적으로 활용된 것으로 알려진 Remcos RAT입니다. 공격자의 도구 키트에서 또 다른 플러그인은 유출자이며, 이는 앞서 언급된 난독화된 VBS 스크립트를 통해 배포될 뿐만 아니라 SmartAssembly를 사용하여 난독화된 .NET 실행 파일에 통합된 것입니다. 이 플러그인은 사용자의 민감한 데이터를 훔치기 위한 악성 DLL 파일을 나타내는 하드코딩된 배열을 포함합니다. 후자는 사용자의 시스템을 지속적으로 추적하고 특정 암호화 지갑에 주의를 기울입니다.

지속성을 유지하고 탐지를 피하며 다양한 페이로드를 배포할 수 있는 능력을 보여주는 유사한 정교한 사이버 공격의 등장은 침입의 위험을 최소화하기 위한 강력한 사이버 방어 조치의 중요한 필요성을 부채질합니다. 이를 활용하여 SOC Prime의 Attack Detective를 통해 조직은 자동화된 탐지 스택 검증을 통해 공격이 발생하기 전에 사이버 방어를 강화할 수 있습니다.