두 트로이 목마 모두 그래픽 사용자 인터페이스가 부족하므로 개발에 Qt를 사용하는 선택이 이상해 보일 수 있습니다. 그러나 이 플랫폼에서는 악성 프로그램이 거의 개발되지 않아 탐지 및 분석이 어렵습니다. 그러나 거의 동일한 기능을 수행함에도 불구하고 QuiteRAT는 MagicRAT에 비해 크기가 훨씬 작습니다(4MB~5MB 대 18MB). 따라서 공격자가 감염된 컴퓨터에서 명령과 추가 페이로드를 원격으로 실행할 수 있습니다.
차이점은 QuiteRAT에 몇 가지 필수 Qt 라이브러리만 포함되어 있는 반면 MagicRAT는 전체 프레임워크를 컴파일하여 훨씬 더 크게 만드는 보다 간소화된 개발 프로세스에서 비롯됩니다.
컴퓨터에 배포되면 QuiteRAT는 MAC 주소, IP 주소 및 장치의 현재 사용자 이름과 같은 기본 정보를 수집합니다. 하드코딩된 명령 및 제어 서버에 연결하고 명령이 실행될 때까지 기다립니다.
실행된 명령 중 하나는 악성 프로그램을 절전 모드로 전환하고 지정된 기간 동안 C2 서버와의 통신을 중지하는 것이었습니다. 이는 아마도 영향을 받은 네트워크 내에서 공격자가 탐지되지 않도록 하기 위한 시도일 수 있습니다. QuiteRAT에는 지속성 메커니즘이 내장되어 있지 않지만 C2 서버는 재부팅 후 악성코드를 실행하도록 레지스트리 항목을 설정하는 명령을 보낼 수 있습니다.
두 번째는 새로운 원격 액세스 트로이목마인 CollectionRAT입니다.
QuiteRAT 공격을 조사하는 동안 Talos 연구원들은 Lazarus의 C2 인프라를 조사한 결과 CollectionRAT라고 불리는 또 다른 RAT 프로그램을 포함한 추가 도구를 발견했습니다. Talos 연구원은 “우리는 이 캠페인에 사용된 QuiteRAT 및 오픈 소스 DeimosC2 에이전트가 2022년 이전 캠페인에서 Lazarus 팀이 사용한 것과 동일한 원격 위치에서 호스팅된다는 사실을 발견했습니다.”라고 Talos 연구원은 말했습니다. “이 인프라는 공격자의 무기고에 있는 새로운 악성 코드인 CollectionRAT를 명령하고 제어하는 데 사용되었습니다.”
CollectionRAT는 과거 북한의 사이버 공격과 관련하여 CISA와 카스퍼스키 랩이 기록한 또 다른 악성 코드 프로그램인 Jupiter/EarlyRAT와 연결된 것으로 보입니다. QuiteRAT과 마찬가지로 CollectionRAT는 기존에 Windows 애플리케이션용 사용자 인터페이스를 개발하는 데 사용된 공식 라이브러리인 MFC(Microsoft Foundation Classes)와 같은 색다른 도구를 사용하여 개발되었습니다. MFC는 즉시 맬웨어 코드를 해독하고 실행하는 데 사용할 수 있지만 Windows OS의 내부 구현을 추상화하고 다양한 구성 요소가 서로 더 쉽게 작동할 수 있도록 하는 동시에 개발을 단순화하는 이점도 있습니다.
“불치의 인터넷 중독. 수상 경력에 빛나는 맥주 전문가. 여행 전문가. 전형적인 분석가.”
More Stories
김정은 “북한, 미국에 대항해 위력 과시 위해 대륙간탄도미사일(ICBM) 발사”
미국, 북한에 러시아 주둔 군대 철수 촉구 | 국가의
한국군은 북한이 핵과 ICBM 시험을 실시할 준비가 되어 있다고 밝혔습니다.