바이오패스 쥐

이전에 알려지지 않은 원격 액세스 트로이 목마(RAT) 위협이 워터링 홀 공격에서 중국 온라인 도박 회사를 표적으로 하는 유해한 작업의 일부로 발견되었습니다. 연구원들은 맬웨어의 이름을 BIOPASS RAT로 지정하고 그 기능을 자세히 설명하는 보고서를 발표했습니다. 위협은 합법적이고 잘 알려져 있지만 현재는 사용되지 않는 소프트웨어 제품인 것처럼 가장하는 맬웨어 로더를 통해 손상된 사이트의 방문자에게 전달되었습니다. 로더는 Adobe Flash Player 또는 Microsoft Silverlight용 설치 프로그램으로 자신을 전달하는 것으로 관찰되었습니다. 위협 행위자는 일반적으로 감염된 사이트의 온라인 지원 페이지에 감염 스크립트를 배치했습니다. 로더가 피해자의 시스템에서 실행되면 Cobalt 비콘 또는 BIOPASS RAT 페이로드를 삭제합니다.

BIOPASS RAT는 피해자의 화면을 스트리밍할 수 있습니다.

Python 프로그래밍 언어를 사용하여 작성된 BIOPASS RAT는 몇 가지 꼬임이 있는 완전한 원격 액세스 위협입니다. 파일 시스템을 조작할 수 있습니다. 디렉토리 삭제 또는 생성, 파일 삭제, 다운로드 또는 업로드는 물론 선택한 프로세스를 종료하고 임의의 명령을 실행할 수 있습니다. 그러나 BIOPASS RAT는 시스템의 스크린샷 캡처와 같이 악의적인 목표를 달성하는 데 도움이 되는 몇 가지 도구를 다운로드합니다. 위협은 그 이상입니다. BIOPASS는 인기 있는 스트리밍 및 비디오 녹화 제품인 OBS(Open Broadcaster Software) Studio의 프레임워크를 버리고 RTMP(실시간 메시징 프로토콜)를 통해 침해된 장치의 화면을 클라우드 서비스로 라이브 스트리밍할 수 있습니다.

또한 BIOPASS는 중국에서 널리 사용되는 여러 웹 브라우저 및 인스턴트 메시징 응용 프로그램에서 대량의 민감한 개인 데이터에 액세스하도록 명령할 수 있습니다. 대상 응용 프로그램에는 QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ 및 Aliwangwang이 있습니다. BIOPASS RAT Python 스크립트와 함께 유출된 모든 사용자 데이터는 OSS(Object Storage Service)를 활용하여 Alibaba Cloud(Aliyun)에 저장됩니다.

위협의 저작자

결정적인 것은 아니지만 BIOPASS RAT와 사이버 스파이 공격을 전문으로 하는 정교한 중국 관련 위협 행위자인 Winnti Group( APT41 ) 사이의 일부 링크가 발견되었습니다. 둘 사이의 하나의 연결은 BIOPASS RAT 로더 바이너리에 서명하는 데 사용되는 인증서를 통해 설정할 수 있습니다. 그 중 상당수는 한국이나 대만 게임 스튜디오에서 도용되었을 가능성이 큽니다. 이것은 과거의 악의적인 작업에 게임 스튜디오에 속한 도용된 인증서를 통합한 Winnti 해커의 확립된 특성입니다.

BIOPASS RAT 로더 인증서 중 하나는 Derusbi 악성코드의 서버 측 변종에 서명하는 데에도 사용되었습니다. 이 특정 위협은 여러 APT(Advanced Persistent Threat) 그룹의 위협적인 툴킷의 일부였습니다. 그러나 서버 측 변종은 Winnti Group의 공격에서 로더로 관찰되었습니다. Trend Micro 연구원은 또한 이미 Winnti의 해커에 기인한 PBD 문자열 및 C&C 도메인이 있는 Cobalt Strike 로더를 발견했습니다.

BIOPASS RAT는 아직 활발히 개발 중인 것으로 간주되어 앞으로 더욱 정교한 버전의 위협이 출시되면 그 위험이 더욱 커질 수 있습니다.