AveMariaRAT

사이버 보안 연구원들이 무기화된 첨부 파일을 전달하는 악성 스팸 이메일 캠페인을 발견했습니다. 작업의 미끼 이메일은 최근 지불 보고서에 대한 중요한 알림으로 사용자에게 제공되었습니다. 메시지는 평판이 좋은 출처에서 보낸 것으로 자신을 전달하려고 했습니다. 그러나 첨부된 Excel Add-In(.xlam) 파일에는 실행 시 발생하는 악성 매크로가 포함되어 있습니다. 공격자의 목표는 AveMariaRAT, PandorahVNC RAT 및 BitRAT의 세 가지 파일 없는 RAT( 원격 액세스 트로이 목마 ) 위협을 피해자의 장치에 전달하는 것입니다. 초기 감염 경로와 전달된 위협에 대한 세부 정보는 Fortinet의 보안 보고서에서 공개되었습니다.

AveMariaRAT 위협은 위협 행위자가 침해된 장치에 대한 제어를 설정하고 수많은 침입 작업을 수행할 수 있도록 하는 강력한 맬웨어입니다. 이것은 'aspnet_compiler.exe'라는 이름으로 새로 생성된 프로세스에 주입되어 피해자의 시스템에 드롭된 세 가지 식별된 RAT 위협 중 첫 번째입니다. 위협 요소에는 자동 실행 그룹에 자신을 추가할지, Windows의 UAC(사용자 계정 컨트롤)를 우회하거나, Windows Defender를 우회할지 여부를 수정할 수 있는 여러 스위치 플래그가 장착되어 있습니다.

AveMaria는 RC4로 암호화된 두 서버 간의 통신을 통해 명령 및 제어(C2, C&C) 서버와의 연결을 설정합니다. 시스템에 완전히 설정되면 RAT는 운영자에게 다양한 옵션을 제공합니다. 위협 행위자는 원격 셸, 원격 VNC(가상 네트워크 컴퓨팅)를 활성화하고, 파일 시스템을 조작하고, 웹캠을 제어하고, 원격 키로거 루틴을 활성화하고, 장치에 대한 권한을 상승시키는 등의 작업을 수행할 수 있습니다.

AveMariaRAT의 비밀번호 관리자 기능은 Chrome, Edge, Epic Privacy 브라우저, Tencent QQBrowser, Opera, Brave, Vivaldi 등과 같은 인기 있는 웹 브라우저를 포함하여 다양한 대상 앱에서 계정 자격 증명을 도용할 수 있습니다. 또한 MS Outlook, Microsoft Messaging, Tencent Foxmail 등을 포함한 다양한 이메일 클라이언트에 영향을 줄 수 있습니다.