시리아 위협 그룹, 파괴적인 SilverRAT 판매

정교한 원격 액세스 트로이 목마인 SilverRAT의 배후 그룹은 터키와 시리아에 대한 링크를 보유하고 있으며 손상된 Windows 시스템과 Android 장치를 제어할 수 있는 도구의 업데이트 버전을 출시할 계획입니다.

3월 1일 발표된 위협 분석에 따르면, 현재 Windows 시스템에서만 작동하는 SilverRAT vXNUMX은 키로깅 및 랜섬웨어 공격을 위한 악성 코드 구축을 허용하며 시스템 복원 지점 삭제 기능과 같은 파괴적인 기능을 포함하고 있습니다. 싱가포르 기반 Cyfirma 그들의 분석에 명시된.

SilverRAT 빌더는 다양한 기능을 허용합니다

SilverRAT는 Cyfirma의 분석에 따르면 이 지역의 사이버 범죄 그룹이 더욱 정교해지고 있음을 보여줍니다. 지난 10월 알려지지 않은 공격자에 의해 소스 코드가 유출된 SilverRAT의 첫 번째 버전은 사용자가 특정 기능을 갖춘 원격 액세스 트로이 목마를 구성할 수 있는 빌더로 구성되어 있습니다.

Cyfirma의 분석에 따르면 더 흥미로운 기능으로는 명령 및 제어를 위한 IP 주소 또는 웹페이지 사용, 바이러스 백신 소프트웨어 우회, 시스템 복원 지점 삭제 기능, 페이로드 실행 지연 등이 있습니다.

Cyfirma의 분석에 따르면 최소 두 명의 위협 행위자(하나는 "Dangerous silver" 핸들을 사용하고 다른 하나는 "Monstermc"를 사용)가 SilverRAT와 이전 프로그램인 S500 RAT의 개발자인 것으로 나타났습니다. 해커는 Telegram과 온라인 포럼을 통해 악성 코드 서비스를 판매하고, 다른 개발자의 크랙된 RAT를 배포하고, 기타 다양한 서비스를 제공합니다. 또한 Anonymous Arabic이라는 블로그와 웹사이트도 있습니다.

Cyfirma의 위협 연구원인 Rajhans Patel은 "SilverRAT를 관리하는 사람은 두 명입니다."라고 말합니다. “우리는 개발자 중 한 명의 사진 증거를 수집할 수 있었습니다.”

포럼에서 시작하기

Anonymous Arabic이라고 불리는 악성 코드 배후 그룹은 Turkhackteam, 1877과 같은 중동 포럼과 적어도 하나의 러시아 포럼에서 활동하고 있습니다.

Cyfirma Research 팀의 위협 연구원인 Koushik Pal은 SilverRAT의 개발 외에도 이 그룹의 개발자들은 필요에 따라 분산 서비스 거부(DDoS) 공격을 제공한다고 말했습니다.

“우리는 2023년 XNUMX월 말부터 익명 아랍어의 일부 활동을 관찰했습니다.”라고 그는 말합니다. “그들은 대규모 조직에 대한 DDOS 공격을 수행하기 위해 'BossNet'으로 알려진 텔레그램에 광고되는 봇넷을 사용하는 것으로 알려져 있습니다."

중동 위협 환경은 이란과 이스라엘의 국영 및 국가 후원 해킹 그룹이 지배하고 있는 반면, Anonymous Arabic과 같은 국내 그룹은 계속해서 사이버 범죄 시장을 지배하고 있습니다. SilverRAT와 같은 도구의 지속적인 개발은 이 지역 지하 시장의 역동적인 특성을 강조합니다. 

트로이 목마 구축을 위한 SilverRAT 대시보드. 출처: Cyfirma

관리형 탐지 및 대응 회사인 Critical Start의 사이버 위협 인텔리전스 연구 분석가인 Sarah Jones는 중동의 해킹 그룹이 매우 다양한 경향이 있다고 말합니다. 그는 개별 해킹 그룹이 끊임없이 진화하고 있으며 그들의 특성을 일반화하는 것은 문제가 될 수 있다고 경고했습니다.

“기술적 정교함의 수준은 중동의 그룹마다 크게 다릅니다.”라고 그녀는 말합니다. "일부 국가 지원 행위자는 고급 기능을 보유하고 있는 반면 다른 행위자는 더 간단한 도구와 기술에 의존합니다."

게임 해킹을 통한 관문

Cyfirma 연구원들이 수집한 데이터에 따르면 익명의 아랍어 그룹의 확인된 구성원 중 적어도 한 명은 전 게임 해커였습니다. 해커 중 한 명의 페이스북 프로필, YouTube 채널, 소셜 미디어 게시물을 포함합니다. 시리아 다마스쿠스에 거주하며 20대부터 해킹을 시작한 XNUMX대 초반.

게임에 대한 익스플로잇을 찾아내는 데 전념하는 젊은 해커들의 프로필은 중동의 해킹 커뮤니티를 초월합니다. 게임 해킹을 만들거나 게임 시스템에 대한 서비스 거부 공격을 시작하여 해킹 경력을 시작하는 청소년이 추세가 되었습니다. 아리온 쿠르타지(Arion Kurtaj) 회원 랩서스$ 그룹, 마인크래프트 해커로 시작해 나중에는 마이크로소프트, 엔비디아, 게임 제조사 락스타 등 해킹 대상으로 활동했다.

Cyfirma의 위협 연구원인 Rajhans Patel은 "SilverRAT의 개발자에게서도 비슷한 경향을 볼 수 있습니다."라고 위협 분석을 덧붙였습니다. "개발자의 이전 게시물을 검토하면 다양한 1인칭 슈팅(FPS) 게임을 제공한 이력이 드러납니다. 해킹과 모드.”

주요 해킹에 대한 사후 분석을 수행하는 미국 국토안보부 산하 사이버안전검토위원회(CSRB)는 청소년 해커에서 사이버 범죄 기업으로 이어지는 지속적인 파이프라인을 실존적 위험으로 식별했습니다. 정부와 민간 조직은 청소년을 사이버 범죄로부터 멀어지게 하는 전체적인 프로그램을 마련해야 한다고 CSRB는 밝혔습니다. Lapsus$ 그룹의 성공 분석 "세계에서 가장 자원이 풍부하고 방어력이 뛰어난 일부 기업"을 공격했습니다.

그러나 Critical Start의 Jones는 젊은 프로그래머와 기술에 능숙한 10대들도 사이버 범죄에 침투할 수 있는 다른 방법을 찾는 경우가 많다고 말합니다.

“다른 인구 집단과 마찬가지로 해커도 다양한 동기, 기술 및 접근 방식을 가진 다양한 개인입니다.”라고 그녀는 말합니다. "일부 해커는 게임 해킹으로 시작하여 더 심각한 도구와 기술로 이동할 수 있지만, 사이버 범죄자는 사이버 방어력이 약한 산업과 국가를 표적으로 삼는 경향이 있는 경우가 많습니다."

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/cyberattacks-data-breaches/syrian-threat-group-peddles-destructive-silverrat