Bitfrost 원격 액세스 트로이 목마(RAT)의 새로운 Linux 변종이 발견되었습니다. 이 RAT는 20년 전에 처음 발견되었으며, 악성 이메일 첨부파일이나 페이로드를 떨어뜨리는 사이트를 통해 사용자를 감염시키고 호스트로부터 민감한 정보를 수집합니다. Palo Alto Networks의 Unit 42 연구팀은 최근 Bitfrost의 활동이 급증함을 확인하고, 이에 따라 새롭고 은밀한 변종을 발견하는 조사를 진행하였습니다.
이 RAT는 몇 가지 새로운 회피 기법을 사용하며, 그 중 하나는 VMware의 일부로 보이도록 만들어진 사기성 도메인을 사용하는 것입니다. 이 도메인은 대만 기반의 공용 DNS 확인 기관에 연락하여 해결되므로 추적 및 차단이 더 어려워집니다. 또한, 이 RAT는 이진 파일을 디버깅 정보나 심볼 테이블 없이 컴파일하고, 피해자의 호스트 이름, IP 주소, 프로세스 ID를 수집한 후 RC4 암호화를 사용하여 전송 전에 이를 보호합니다.
Unit 42의 보고서에서 새롭게 발견된 것 중 하나는 Bitfrost의 ARM 버전입니다. 이는 x86 샘플과 동일한 기능을 가지며, 이러한 빌드의 등장은 공격자들이 ARM 기반 아키텍처를 대상으로 확장하려는 의도를 보여줍니다. Bitfrost는 가장 복잡하거나 널리 분포된 악성 코드 중 하나로 간주되지 않지만, Unit 42 팀이 발견한 내용을 보면 더욱 주의를 기울여야 합니다.
요약
- Bifrost 원격 액세스 트로이 목마(RAT)의 새로운 Linux 변종이 발견되었다.
- 이 RAT는 VMware의 일부로 보이는 기만적인 도메인을 사용하며, 이를 통해 추적과 차단을 어렵게 한다.
- 이 RAT는 이진 파일을 디버깅 정보나 심볼 테이블 없이 컴파일하고, 피해자의 정보를 수집한 후 RC4 암호화를 사용하여 보호한다.
- Bifrost의 ARM 버전이 새롭게 발견되었으며, 이는 공격자들이 ARM 기반 아키텍처를 대상으로 확장하려는 의도를 보여준다.
- Bifrost는 가장 복잡하거나 널리 분포된 악성 코드 중 하나로 간주되지 않지만, 이러한 발견은 더욱 주의를 기울일 필요성을 보여준다.
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.