악성코드 RAT, 전자책으로 유포되고 있어 주의

안녕하세요! No.1 IT 전문 기업 인스피언(주)입니다. 2024년 1분기에 가장 많이 탐지된 악성코드 유형은 스틸러, RAT, 랜섬웨어 순으로 나타났습니다. 2023년 3분기에는 2.444개였던 RAT 탐지 수가 2024년 1분기에 4,956개로 두 배 이상 증가했습니다. RAT는 다양한 확장자와 공격 방식을 악용해 유포되고 있으며, 최근에는 전자책으로 위장해 배포되고 있는 상황입니다.

 

악성코드 RAT 이란?

RAT는 Remote Access Trojan의 약자로, 원격 제어 도구/원격 접속 도구라고 부릅니다. 공격자가 대상 컴퓨터의 전체 관리자 권한과 원격 제어를 얻기 위해 사용하는 맬웨어입니다. RAT는 합법적인 사용자 요청 프로그램으로 위장하여 다운로드 되거나, 피싱 이메일의 첨부 파일로 압축되어 전송되거나, 설문조사 내용을 담은 정상 문서 파일로 위장해 유포됩니다.

유포된 RAT는 호스트를 제어하여 정보를 유출하거나 브라우저의 정보와 암호화폐 지갑 정보 등을 유출합니다. 또한 RAT는 백도어를 제공하고 관리 제어를 가능하게 하기에 다른 취약한 컴퓨터에 RAT를 배포하는 등 다양한 명령을 통해 악성 행위를 수행할 수 있습니다. RAT는 피해자의 카메라와 마이크에 접근하여 개인정보를 침해할 수 있으며, 이를 통해 추가 공격을 수행하거나 사용자를 협박할 수 있습니다. 또한 피해자의 컴퓨터를 이용해 암호화폐를 채굴할 수 있으며, 여러 RAT를 활용해 트래픽을 과부하 시키고 DDos 공격을 실행하는 데에도 사용될 수 있습니다.

 

전자책으로 유포되는 RAT 주의

정상적인 전자책으로 위장한 압축 파일 내부에는 압축 파일 아이콘으로 위장한 LNK 파일, 악성 파워셸(PowerShell) 스크립트를 포함한 텍스트 파일, 동영상 확장자로 위장한 추가 압축파일, 그리고 정상 전자책 파일이 존재합니다. LNK 파일은 악성 명령어를 포함하고 있으며, 파워셸 스크립트를 포함한 RM.TXT 파일을 읽어와 실행합니다. 실질적인 스크립트는 다운로더 악성코드를 포함한 폴더의 속성을 숨김으로 변경하고, 난독화된 스크립트를 실행합니다. 압축을 해제한 후 작업 스케줄이 등록되면 악성코드가 다운로드 되고 실행됩니다. 이 과정에서 공격자는 원격으로 명령을 전달하여 다양한 악성 행위를 수행할 수 있습니다. 전자책으로 위장한 RAT는 자료 공유 사이트에서도 유포될 수 있으므로, 이에 대한 주의가 필요합니다.

​

​

｜ 참고자료

🔗지티티코리아 애니런, 2024년 1분기 보안 동향 보고서

🔗보안뉴스 전자책으로 속여 유포되는 악성코드 ‘에이싱크RAT’ 주의보

 

BizInsider PLUS & BizInsider SIEM​

빅데이터 기반의 통합 로그 관리 솔루션 BizInsider PLUS는 방대한 IT 시스템에서 발생하는 로그 및 이벤트를 수집, 저장, 분석, 관리하는 일원화된 솔루션입니다. Agent와 Agentless 방식의 다양한 프로토콜을 지원하여 100% 로그의 유실 없이 원활한 수집이 가능합니다. 수집된 로그는 중앙에서 관리되어 안전하게 보호됩니다. 무한 병렬 확장을 지원하며 분산 아키텍처를 적용해 수평적 확장이 가능하여 빅데이터 환경 속에서도 초고속 검색 성능을 구현할 수 있습니다. 또한, 자체 WORM 기능을 제공하며 데이터 전송 시 암호화가 가능하고, 로그 내 개인정보는 마스킹 기능으로 보호됩니다.

빅데이터 분석 및 탐지 최적화 통합 보안 관리 솔루션 BizInsider SIEM은 2025년에 정식 출시될 신제품으로, IT 시스템에서 발생하는 로그와 이벤트를 분석하여 보안 위협을 탐지하는 솔루션입니다. 이기종 간의 상관관계를 분석하고 보안 위협 정보를 정기적으로 업데이트하며, 최신 보안 위협에 대한 탐지가 가능합니다.

빅데이터 기반의 통합로그관리 솔루션 BizInsider PLUS는 우수한 소프트웨어 품질을 인정받아 CC 인증과 GS 인증을 획득하였습니다. 제품은 조달청 온라인 몰에서 구매할 수 있으며, 제품 및 서비스에 대해 궁금한 점이 있다면 아래 홈페이지를 통해 문의해 주세요!

​

​