새롭고 으스스한 Gh0st RAT 악성코드가 글로벌 사이버 표적을 괴롭힌다

악명 높은 'Gh0st RAT' 악성코드의 새로운 변종이 최근 우즈베키스탄의 한국인과 외교부를 표적으로 한 공격에서 확인됐다.

중국그룹 'C.Rufus Security Team' 오픈 웹에 Gh0st RAT 최초 출시 2008년 XNUMX월. 놀랍게도 오늘날에도 여전히 사용되고 있습니다. 특히 중국과 그 주변에서 그렇습니다. 수정된 형태로.

예를 들어, 0월 말부터 강력한 중국 연결을 가진 그룹은 "SugarGh0st RAT"로 명명된 수정된 GhXNUMXst RAT를 배포해 왔습니다. Cisco Talos의 조사에 따르면, 이 위협 행위자는 JavaScript 기반 Windows 단축키를 통해 변종을 삭제하는 동시에 맞춤형 미끼 문서로 대상의 주의를 분산시킵니다.

맬웨어 자체는 이전과 거의 동일하고 효과적인 도구이지만 이제는 바이러스 백신 소프트웨어를 몰래 통과하는 데 도움이 되는 몇 가지 새로운 데칼을 자랑합니다.

SugarGh0st RAT의 함정

피싱을 통해 전달된 것으로 보이는 SugarGh0st의 XNUMX개 샘플은 Windows LNK 바로가기 파일이 포함된 아카이브로 대상 컴퓨터에 도착합니다. LNK는 열자마자 한국이나 우즈베키스탄 정부를 대상으로 하는 미끼 문서와 페이로드를 드롭하는 악성 JavaScript를 숨깁니다.

2008년 0월 대중에게 처음 공개된 중국 출신 원격 액세스 트로이 목마처럼, SugarGh32st는 깨끗하고 다양한 도구를 갖춘 스파이 시스템입니다. C++로 작성된 XNUMX비트 동적 링크 라이브러리(DLL)는 시스템 데이터 수집으로 시작하여 완전한 원격 액세스 기능을 제공합니다.

공격자는 SugarGh0st를 사용하여 손상된 시스템에 대해 원하는 정보를 검색하거나 실행 중인 프로세스를 시작, 종료 또는 삭제할 수 있습니다. 이를 사용하여 파일을 찾고, 추출하고, 삭제하고, 이벤트 로그를 지워서 결과적인 법의학 증거를 마스킹할 수 있습니다. 백도어에는 키로거, 스크린샷 작성자, 장치의 카메라에 액세스하는 수단 및 마우스 조작, 기본 Windows 작업 수행 또는 단순히 임의 명령 실행을 위한 기타 유용한 기능이 장착되어 있습니다.

Cisco Talos의 지원 책임자인 Nick Biasini는 "저에게 가장 우려되는 점은 이전 탐지 방법을 회피하도록 특별히 설계되었다는 것입니다."라고 말합니다. 특히 이 새로운 변종을 통해 "그들은 핵심 탐지의 작동 방식을 바꾸는 작업을 수행하기 위해 노력했습니다."

SugarGh0st에 특별히 새로운 회피 메커니즘이 있는 것은 아닙니다. 오히려 사소한 미학적 변화로 인해 이전 변형과 다르게 보입니다. 예를 들어 명령 및 제어(C2) 통신 프로토콜을 변경하여 5바이트 ​​대신 네트워크 패킷 헤더가 처음 8바이트를 매직 바이트(목록)로 예약하도록 했습니다. 파일의 내용을 확인하는 데 사용되는 파일 서명). Biasini는 "기존 보안 도구가 이 문제를 즉시 파악하지 못하도록 하는 매우 효과적인 방법일 뿐입니다."라고 말합니다.

Gh0st RAT의 오래된 유령

2008년 XNUMX월, 달라이 라마 사무실은 보안 연구원에게 접근했습니다(아니요, 이것은 나쁜 농담의 시작이 아닙니다).

직원들은 피싱 이메일로 시달렸습니다. Microsoft 애플리케이션이 설명 없이 조직 전체에서 충돌을 일으켰습니다. 스님 한 분 리콜 그의 컴퓨터가 Microsoft Outlook을 자체적으로 열고, 이메일에 문서를 첨부하고, 해당 이메일을 알 수 없는 주소로 보내는 것을 지켜보는 것은 모두 입력 없이 이루어집니다.

Gh0st RAT 베타 모델의 영어 UI. 출처: Wayback Machine을 통한 Trend Micro EU

티베트 승려들을 상대로 중국군과 연계된 캠페인에 사용된 트로이 목마는 몇 가지 이유로 시간의 시험을 견뎌 왔다고 Biasini는 말합니다.

“오픈 소스 악성 코드군은 공격자가 적절하다고 생각하는 대로 조작할 수 있는 완전한 기능을 갖춘 악성 코드를 얻기 때문에 오래 살아남습니다. 또한 맬웨어 작성 방법을 모르는 사람들도 사용할 수 있습니다. 이 자료를 무료로 활용하세요”라고 설명합니다.

그는 Gh0st RAT가 특히 “매우 기능적이고 잘 구축된 RAT”라는 점을 강조했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/threat-intelligence/new-spookier-gh0st-rat-uzbekistan-south-korea