전쟁터 RAT 맬웨어, 콘퓨셔스 APT에 의해 타겟 공격에 사용됨

보안 연구원들은 Warzone RAT 악성코드를 활용하여 대상자를 손상시키는 Confucius APT 캠페인이 진행 중임을 발견했습니다. 이 캠페인은 중국 및 기타 남아시아 국가의 정부 부문을 대상으로 하는 것으로 추정됩니다.

Warzone RAT 설명

Warzone 원격 액세스 트로이 목마(RAT)는 AveMaria 스틸러의 뛰어난 후속작으로, 2018년 맬웨어-서비스-스트레인(MaaS) 변종으로 처음 등장했습니다. 2020년 동안 Warzone은 악성 경쟁에서 우위를 점하기 위해 운영자에 의해 크게 개선되었습니다. 트로이 목마는 대여 기간에 따라 $23-$50의 가격으로 현재 판매되고 있으며, 해당 기간은 1개월에서 3개월까지 다양할 수 있습니다. 또한 Warzone은 RAT 독, Crypter, .DOC 및 엑셀용 무음 익스플로잇을 포함한 여러 유료 옵션을 제공합니다. 게다가, 크랙된 버전 의 트로이 목마가 GitHub에 업로드되어 사이버 범죄 커뮤니티 전반에 걸쳐 악성코드의 채택을 확대했습니다.

그렇다면 Warzone RAT 악성코드는 무엇일까요? Warzone은 C++ 언어로 작성된 완벽한 원격 액세스 트로이 목마로, 대부분의 Windows 버전과 호환됩니다. 연구원의 분석에 따르면트로이 목마는 대상 PC에 대한 완벽한 원격 제어를 제공할 수 있습니다. 기능 목록에는 주요 브라우저 및 이메일 클라이언트(Chrome, Firefox, Opera, Internet Explorer, Thunderbird, Foxmail, Outlook 등)에서 자동으로 비밀번호를 덤프하는 기능이 포함되어 있습니다. 또한, 이 악성코드는 손상된 장치에서 파일을 다운로드하고 실행하며, 키로깅 및 명령 실행을 수행하고, 웹캠 모듈을 연결하고, 역방향 프록시를 활성화하며, 원격 셸을 지원할 수 있습니다.

Warzone RAT는 탐지를 피하고 손상된 기기에서 권한을 상승시키는 데 성공적이라는 점에 주목할 필요가 있습니다. 이 악성코드는 UAC 우회 기능을 포함하여 Windows 10의 기본 파일 시스템 제한을 극복할 수 있습니다. 이는 sdclt.exe 기능을 오용하여 시스템의 백업 및 복구 기능 내에서 수행됩니다. 이전 버전의 Windows에서는, 악성코드가 구성을 포함한 별도의 UAC 우회를 적용합니다.

공격 개요

Uptycs의 연구원들은 Confucius APT 캠페인에서 활용된 Warzone의 공격 킬 체인을 분석했습니다. 침입은 ‘China Cruise Missiles Capabilities-Implications for the Indian Army.docx’라는 미끼 문서에서 시작합니다. 이러한 미끼는 인도와 중국 간의 현재 국경 긴장을 설명하기 때문에 대상 정부 부서 내 직원들의 관심을 끌 수 있습니다. 사용자가 문서를 열도록 설득당한 경우, 다음 단계 RTF 익스플로잇을 템플릿 주입을 통해 다운로드합니다. 익스플로잇은 내장된 DLL을 통해 최종 Warzone RAT 페이로드를 떨어뜨립니다. DLL 분석을 통해 연구원들은 아마도 이 지역의 다른 공공 부문 타겟을 대상으로 하는 3개의 추가 미끼 문서를 식별할 수 있었습니다. 이 미끼들은 대만 해협에서의 중국의 군사 활동, 핵무기 문제에 대한 조 바이든의 결정, 및 파키스탄 우주 및 고등층 대기 연구 위원회(SUPARCO)의 직업 신청과 관련이 있습니다. 이러한 미끼들은 2020년 10월부터 배포되었으며, 이 캠페인이 최소 몇 달 동안 계속되고 있음을 나타냅니다.

The DLL analysis allowed researchers to identify three more decoy documents probably aimed at other public sector targets in the region. The lures are related to the military activity of China at Taiwan Strait, Joe Biden’s decisions on nuclear weapon issues, and the job application to the Pakistan Space & Upper Atmosphere Research Commission (SUPARCO). The baits had been distributed since October 2020, indicating that the campaign lasts at least several months. 

Warzone RAT 악성코드 탐지

Warzone RAT의 악성 활동을 탐지하려면, 저희의 위협 바운티 개발자인 Osman Demir가 출시한 최신 Sigma 규칙을 다운로드하실 수 있습니다:

https://tdm.socprime.com/tdm/info/i17zSMtfKc76/-oy79nYBmo5uvpkjsFUZ/

이 규칙은 다음 플랫폼에 대한 번역을 가지고 있습니다:

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness

MITRE ATT&CK:

전술: 실행, 지속성

기술: 명령줄 인터페이스(T1059), 레지스트리 실행 키/시작 폴더(T1060)

Threat Detection Marketplace에 대한 유료 접근 권한이 없는 경우, 커뮤니티 구독에서 무료 평가판을 활성화하여 Warzone 원격 액세스 트로이 목마와 관련된 Sigma 규칙을 잠금 해제할 수 있습니다.

저희 플랫폼에서 무료로 제공되는 더 많은 관련 SOC 콘텐츠를 보려면, Threat Detection Marketplace에 구독하세요. 저희는 대부분의 SIEM, EDR, NTDR, 및 SOAR 플랫폼과 호환되는 81,000개 이상의 탐지 콘텐츠 항목을 보유하고 있습니다. 직접 Sigma 규칙을 만들고 위협 사냥 이니셔티브에 기여하는 데 영감을 받으셨나요? 위협 바운티 프로그램에 가입하세요 더 안전한 미래를 위해!