BatCloak 악성코드

사이버 보안 분석가들은 VenomRAT , RemcosRAT , XWormRAT , NanoCore RAT 및 암호화폐 지갑을 표적으로 삼는 스틸러를 포함한 일련의 위협적인 소프트웨어를 배포하기 위한 수단으로 송장 테마의 피싱 미끼를 사용하는 정교한 다단계 공격을 발견했습니다.

이러한 사기성 이메일에는 SVG(Scalable Vector Graphics) 파일 형식의 첨부 파일이 포함되어 있습니다. 일단 열리면 이러한 파일은 일련의 감염을 유발합니다. 이 작업에서 주목할만한 점은 BatCloak 악성코드 난독화 엔진과 ScrubCrypt를 활용하여 난독화된 배치 스크립트를 통해 악성코드를 전파한다는 것입니다.

BatCloak 악성 코드는 다음 단계 페이로드 전달을 촉진합니다

2022년 후반부터 다른 위협 행위자가 구매할 수 있는 BatCloak은 Jlaive라는 도구에서 유래되었습니다. 주요 기능은 기존 탐지 방법을 회피하는 방식으로 후속 단계 페이로드의 로딩을 용이하게 하는 것입니다.

작년 Trend Micro가 조사한 바에 따르면, 8220 Gang이 주도한 크립토재킹 캠페인에서 2023년 3월 연구원들에 의해 처음 식별된 ScrubCrypt는 BatCloak의 반복 버전 중 하나로 여겨집니다.

사이버 보안 전문가가 면밀히 조사한 가장 최근 캠페인에서 SVG 파일은 BatCloak을 사용하여 제작되었을 가능성이 있는 배치 스크립트가 포함된 ZIP 아카이브를 배포하기 위한 통로 역할을 합니다. 그런 다음 이 스크립트는 호스트에 지속성을 설정하고 AMSI 및 ETW 보호를 우회하는 조치를 구현한 후 ScrubCrypt 배치 파일의 압축을 풀어 궁극적으로 Venom RAT를 실행합니다.

사이버 범죄자는 BatCloak을 통해 수많은 악성 코드 위협을 배포합니다.

Quasar RAT 의 파생물인 Venom RAT는 공격자가 손상된 시스템을 확보하고, 민감한 데이터를 수집하고, 명령 및 제어(C2) 서버에서 명령을 실행할 수 있도록 해줍니다. Venom RAT의 핵심 기능은 간단해 보이지만 C2 서버와의 통신 채널을 설정하여 다양한 활동을 위한 추가 플러그인을 확보합니다. 여기에는 키로거 기능을 갖춘 Venom RAT v6.0.3과 NanoCore RAT, XWorm 및 Remcos RAT가 포함됩니다. Remcos RAT 플러그인은 'remcos.vbs'라는 난독화된 VBS 스크립트, ScrubCrypt 및 GuLoader PowerShell의 세 가지 방법을 통해 VenomRAT의 C2에서 배포됩니다.

또한 플러그인 시스템을 통해 배포되는 스틸러는 시스템 정보를 청소하고 Atomic Wallet, Electrum, Ethereum, Exodus, Jaxx Liberty(2023년 3월 현재 중단됨), Zcash, Foxmail 및 Telegram과 같은 지갑 및 애플리케이션과 연결된 폴더에서 데이터를 사이펀하여 원격 서버.

문서화된 정교한 공격 작전은 ScrubCrypt를 통해 VenomRAT을 전파하고 실행하기 위해 여러 계층의 난독화 및 회피 전술을 사용합니다. 가해자는 악성 첨부 파일이 포함된 피싱 이메일, 난독화된 스크립트 파일, Guloader PowerShell 등 다양한 수단을 활용하여 피해자 시스템을 침해하고 손상시킵니다. 또한 다양한 페이로드를 통한 플러그인 배포는 공격 캠페인의 다양성과 적응성을 강조합니다.