Atroposia RAT
아트로포시아는 지하 포럼에서 거래되는 원격 접속 트로이 목마(RAT)로, 상업적으로 거래됩니다. 이 악성코드는 운영자에게 감염된 시스템에 대한 심층적이고 은밀한 제어권을 제공하며, 데이터 훔치기, 네트워크 동작 조작, 시스템의 추가 취약점 탐색을 위한 풍부한 툴킷을 제공합니다. 광범위한 기능과 우회 기능 덕분에 장치에 아트로포시아가 존재하는 것이 확인되면 즉시 제거해야 합니다.
악성 소프트웨어 위협은 세 가지 결제 계층의 잠재 '고객'에게 제공됩니다.
월세: $200
분기별: $500(3개월)
반기별: $900(6개월)
목차
은밀함, 지속성 및 명령 채널
아트로포시아는 은닉형으로 설계되었습니다. UAC를 우회하여 자동으로 권한을 상승시키고, 재부팅 후에도 살아남도록 다양한 지속성 기술을 사용하며, 바이러스 백신 탐지를 회피하도록 설계되었습니다. 운영자 명령 및 제어 서버와의 통신은 암호화되며, 웹 방식의 제어판은 숙련도가 중간 수준인 범죄자라도 악성 작업 실행을 간소화합니다.
숨겨진 원격 제어 및 파일 처리
대표적인 기능 중 하나는 숨겨진 원격 데스크톱 구성 요소('HRDP Connect'로 판매)로, 피해자의 컴퓨터에서 보이지 않는 세션을 열어 원격 공격자가 사용자에게 보이지 않는 방식으로 데스크톱과 상호 작용할 수 있도록 합니다. Atroposia는 이를 보완하기 위해 공격자가 드라이브와 폴더를 탐색하고, 파일을 검색하고, 다운로드, 삭제 또는 원격으로 실행할 수 있는 파일 관리자를 포함합니다.
대량 수집 및 은밀한 포장
RAT에는 확장자나 키워드로 파일을 검색하고 일치하는 파일을 암호로 보호된 ZIP 파일로 묶는 그래버가 포함되어 있습니다. 데이터를 메모리에 완전히 저장하거나 내장된 시스템 유틸리티를 활용하여 디스크에 남는 아티팩트를 최소화하고 포렌식 탐지를 복잡하게 만들 수 있습니다.
자격 증명 및 지갑 도난 기능
아트로포시아의 스틸러 모듈은 저장된 브라우저 비밀번호, 비즈니스 애플리케이션 및 VPN 클라이언트의 사용자 인증 정보, 메시징 프로그램의 데이터, 가능한 경우 비밀번호 관리자 데이터, 그리고 암호화폐 지갑 정보 등 광범위한 민감한 정보를 수집합니다. 또한 사용자가 복사하거나 잘라낸 클립보드 콘텐츠도 캡처하여 기록하고 저장합니다. 심지어 복사된 지갑 주소나 사용자 인증 정보를 대체하기 위해 클립보드 콘텐츠를 덮어쓸 수도 있는데, 이는 자금을 빼돌리거나 계정을 탈취하는 데 유용한 기술입니다.
네트워크 조작 및 DNS 하이재킹
이 악성코드는 DNS 설정을 변경하거나 이름 조회를 가로채 피해자의 브라우저를 공격자가 제어하는 가짜 사이트(예: 가짜 로그인 페이지)로 자동 리디렉션할 수 있습니다. 브라우저에 예상 URL이 표시될 수 있으므로, 피해자는 합법적인 사이트에 접속한 것처럼 착각하고 로그인 정보를 입력하도록 속일 수 있습니다.
취약점 스캐닝 및 에스컬레이션 기회
아트로포시아는 감염된 호스트에서 패치 누락, 취약한 구성, 오래된 소프트웨어 등을 검사하는 스캐너를 포함합니다. 기업 환경에서는 이를 통해 패치되지 않은 VPN 클라이언트, 권한 상승 버그 또는 기타 노출된 요소와 같은 고가치 공격 대상을 발견할 수 있으며, 공격자는 이를 악용하여 네트워크 전체에 걸쳐 접근 권한을 확장합니다.
시스템 원격 측정 및 원격 제어 유틸리티
데이터 유출 및 원격 데스크톱 공격 외에도 RAT는 시스템 메타데이터(IP 주소, OS 버전, 지리적 위치 및 기타 환경 정보)를 수집하고, 실행 중인 프로세스를 나열 및 관리하며, 원격 종료 및 재부팅 작업을 지원합니다. 또한, 이 툴킷에는 광범위한 운영 유연성을 제공하는, 영향이 적은 추가 유틸리티가 포함되어 있습니다.
감염이 일반적으로 발생하는 방식
악성 또는 무기화된 문서(예: 이메일을 통해 배포되는 감염된 PDF 또는 기타 첨부 파일)
소프트웨어 불법 복제 패키지, 드라이브바이 익스플로잇, 사기성 광고, 가짜 기술 지원 계획, P2P/공유 파일, 사기성 다운로드 사이트, 타사 설치 프로그램 및 유사한 채널
이러한 전달 방법이 성공하는 이유는 다음과 같습니다. 공격자는 소셜 엔지니어링(가짜 문서, 유혹적인 다운로드 또는 파일 실행 요청)을 사용하거나 취약점과 사기성 설치 프로그램을 악용합니다. 대부분의 감염은 사용자가 맬웨어를 실행하도록 속았을 때 발생합니다.
영향 요약
아트로포시아는 포괄적인 데이터 유출(파일, 자격 증명, 클립보드 데이터, 암호화폐 지갑), 은밀한 원격 제어, DNS 변조를 통한 네트워크 리디렉션, 그리고 추가 악용을 위한 정찰 기능을 제공합니다. 은밀한 아키텍처(권한 승격, 지속성, 인메모리 패키징, 암호화된 C2, 숨겨진 원격 세션)는 개인과 조직 모두에게 특히 위험합니다.
즉각적인 대응
시스템에서 아트로포시아가 의심되거나 탐지되는 경우, 장치를 네트워크에서 분리하고, 가능하면 분석을 위해 로그를 보관하며, 가능한 한 빨리 맬웨어를 제거하십시오. 운영자는 수집된 자격 증명과 측면 경로를 사용할 수 있으므로, 모든 침해를 잠재적으로 광범위한 것으로 간주하고 비밀번호 교체, 토큰 폐기, 그리고 보다 광범위한 내부 조사를 고려하십시오.
