지난 11개월 동안 AsyncRAT 악성코드를 특정 대상에게 전달하는 캠페인이 활성화되었습니다. AsyncRAT은 2019년부터 공개된 Windows용 원격 접근 도구로, 원격 명령 실행, 키로깅, 데이터 유출, 추가 페이로드 드롭 등의 기능을 가지고 있습니다. 이 도구는 대상에게 침투하고, 파일과 데이터를 도난하며, 추가적인 악성코드를 배포하는 데에 사이버 범죄자들에게 널리 사용되어 왔습니다.
이 공격은 악성 이메일을 통해 시작되며, 이 이메일에는 SVG 파일로 연결되는 GIF 첨부 파일이 포함되어 있습니다. 이 SVG 파일은 난독화된 JavaScript와 PowerShell 스크립트를 다운로드합니다. 일련의 검증을 통과한 후, 로더는 명령 및 제어(C2) 서버와 통신하고 피해자가 AsyncRAT 감염에 적합한지 여부를 판단합니다.
AT&T Alien Labs는 이 위협 행위자가 지난 11개월 동안 로더의 300개 이상의 고유한 샘플을 사용했다고 밝혔습니다. 이 샘플들은 코드 구조, 난독화, 변수 이름 및 값 등에 미세한 변화를 가지고 있습니다. 또한, 매주 일요일마다 새로운 C2 도메인을 생성하는 도메인 생성 알고리즘(DGA)을 사용하고 있습니다.
요약
- 지난 11개월 동안 AsyncRAT 악성코드를 특정 대상에게 전달하는 캠페인이 활동해 왔다.
- 이 공격은 악성 이메일을 통해 시작되며, 이 이메일에는 SVG 파일로 연결되는 GIF 첨부 파일이 포함되어 있다.
- AT&T Alien Labs는 이 위협 행위자가 지난 11개월 동안 로더의 300개 이상의 고유한 샘플을 사용했다고 밝혔다.
- 이 샘플들은 코드 구조, 난독화, 변수 이름 및 값 등에 미세한 변화를 가지고 있다.
- 매주 일요일마다 새로운 C2 도메인을 생성하는 도메인 생성 알고리즘(DGA)을 사용하고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.