색맹 쥐

사이버 보안 연구원들이 PyPI(Python Package Index)에 업로드된 위협적인 Python 패키지를 발견했습니다. 이 패키지에는 유해한 정보 도용자와 원격 액세스 트로이 목마(RAT)가 포함되어 있습니다. 이 패키지의 이름은 'colorfool'이며 보안 연구팀은 이 악성코드 위협 자체를 'Colour-Blind'라고 명명했습니다.

이 사건은 악의적인 행위자가 자신의 의도에 맞게 기존 코드에 쉽게 액세스하고 용도를 변경할 수 있는 민주화된 사이버 범죄의 증가 추세를 강조합니다. 연구원들은 공격자가 다른 곳에서 소싱한 코드를 활용하여 악성 코드의 여러 변종을 만들 수 있기 때문에 온라인 범죄의 민주화로 인해 위협 환경이 강화될 수 있다고 설명했습니다.

다른 최신 악성 Python 모듈과 마찬가지로 Colour-Blind는 설정 스크립트에서 잘못된 코드를 숨기는 기술을 사용합니다. 그런 다음 설정 스크립트는 합법적인 Discord 플랫폼에서 호스팅되는 ZIP 아카이브 페이로드를 가리킵니다. 이를 통해 맬웨어는 일부 기존 보안 조치에 의한 탐지를 피할 수 있으므로 탐지 및 제거가 더 어려워집니다.

색맹 RAT는 '뱀' 게임의 코드를 가지고 있습니다.

악성코드는 'Essentials'라는 VB(Visual Basic) 스크립트를 추가하는 것과 관련된 지속성 메커니즘을 활용합니다. vbs'를 사용자의 '시작 메뉴'에 있는 '시작' 폴더로 복사합니다. 로그인 시 VB 스크립트는 악성코드가 'python.exe'와 동일한 폴더에 주입하는 Windows 배치 파일을 실행합니다. 이 배치 파일은 사용자가 로그인할 때마다 Python을 사용하여 맬웨어를 시작하여 맬웨어가 시스템에 활성 상태로 유지되도록 합니다.

악성코드는 위협 행위자 사이에서 점점 인기를 얻고 있는 익명의 파일 전송 사이트인 'transfer[.]sh'를 활용한 파일 유출 기능을 가지고 있습니다. 이 멀웨어에는 사회 공학과 관련된 코드도 포함되어 있어 사용자가 관리자 권한으로 멀웨어를 다시 실행하도록 유도하는 오류 메시지를 생성합니다. 또한 이 악성코드에는 GitHub 리포지토리의 코드를 직접 복사한 것으로 보이는 'Snake' 게임의 내장 버전이 포함되어 있습니다. 그러나 이 게임은 어떤 명백한 목적도 제공하지 않으며 실행 시 시작되지 않습니다.

이 맬웨어는 쿠키, 암호 및 암호 화폐 지갑을 수집하기 위한 스레드를 포함하는 여러 하위 프로세스를 트리거합니다. 원격 제어를 활성화하기 위해 맬웨어는 Flask 웹 애플리케이션을 시작합니다. 그런 다음 이 위협은 'cloudflared'라는 Cloudflare의 역방향 터널 유틸리티를 통해 애플리케이션이 인터넷에 액세스할 수 있도록 합니다. 이 방법을 사용하면 맬웨어는 모든 인바운드 방화벽 규칙을 우회하고 손상된 시스템에서 지속적인 존재를 유지할 수 있습니다.

색맹 RAT에서 발견되는 광범위한 위협 기능 세트

Colour-BLind RAT와 그 다양한 유해 기능은 웹 애플리케이션을 통해 제어할 수 있습니다. 토큰 기능은 Electron.io를 통해 크롬을 사용하거나 Discord를 포함하는 애플리케이션 프레임워크로 크롬을 직접 사용하는 여러 애플리케이션에 대한 로그인 토큰을 덤프할 수 있습니다. 암호 기능은 웹 브라우저에서 추출한 암호를 화면에 덤프하는 반면 쿠키 기능은 모든 브라우저 쿠키를 화면에 덤프합니다. 키 기능은 캡처된 데이터를 키 로거에 덤프하고 화면에 표시합니다.

RAT의 기능 중에는 현재 활성 응용 프로그램 목록과 이를 종료하는 버튼을 제공하는 응용 프로그램 기능도 있습니다. 데이터 덤프 기능은 캡처된 모든 데이터를 C2 URL로 보냅니다. 화면 기능은 사용자 데스크탑의 스크린샷을 보여주고 키 누름과 같은 기초적인 상호 작용을 허용합니다. 위협 요소는 IP 정보를 조회하고 다른 기능을 사용하여 화면에 표시할 수도 있습니다. 브라우저에서 주어진 웹 페이지를 열고 운영 체제를 통해 명령을 실행할 수 있습니다. 팬텀/메타마스크 기능을 통해 침해 기기에서 암호화폐 지갑 정보를 수집할 수 있습니다.

그러나 Colour-Blind RAT는 /camera 엔드포인트를 사용하여 의심하지 않는 사용자를 웹 카메라를 통해 감시하는 등 감염된 시스템에서 더 많은 작업을 수행할 수 있습니다. 피해자의 컴퓨터에 생성된 숨겨진 데스크톱을 처리하는 'hvnc'로 시작하는 다양한 엔드포인트도 있습니다. /hvncmanager 기능을 사용하면 이 숨겨진 데스크톱에서 웹 브라우저를 시작할 수 있습니다. /hvnc 기능은 숨겨진 데스크톱을 여는 데 사용되며 위협 행위자가 상호 작용할 수 있도록 합니다. 이러한 숨겨진 방식으로 웹 브라우저를 여는 기능은 공격자가 피해자의 인터넷 계정에 액세스하거나 상호 작용하기 위해 악용할 수 있습니다. /hvncitem 기능을 통해 공격자는 URL 매개변수 'start'를 조작하여 숨겨진 데스크톱에서 사용자 지정 명령을 실행할 수 있습니다.