다중 라이센스 할인 견적
위협 데이터베이스 멀웨어 EndRAT 멀웨어

EndRAT 멀웨어

멀웨어, 지능형 지속 위협(APT), 원격 관리 도구년에 Mezo 년까지
번역 :

Konni 위협 그룹 소행으로 추정되는 정교한 사이버 공격은 장기적인 침투, 데이터 유출 및 네트워크 내 확산을 위한 치밀한 계획적 접근 방식을 보여줍니다. 이 작전의 중심에는 EndRAT 멀웨어라는 강력한 원격 접속 트로이목마가 자리 잡고 있습니다. EndRAT은 지속적인 접근을 유지하고 민감한 정보를 은밀하게 추출하는 동시에 신뢰할 수 있는 통신 채널을 활용하여 공격 범위를 확장하도록 설계되었습니다.

기만적인 진입점: 무기화된 스피어피싱 전술

침입은 수신자를 북한 인권 강사로 임명한다는 공식 공지로 위장한 정교하게 제작된 스피어 피싱 이메일에서 시작됩니다. 이러한 사회공학적 전술은 신뢰도와 호기심을 악용하도록 설계되었습니다.

수신자가 첨부된 ZIP 압축 파일을 열면 악성 Windows 바로가기(LNK) 파일이 실행됩니다. 이로 인해 여러 단계를 거치는 감염 과정이 시작됩니다.

  • LNK 파일은 원격 서버에서 보조 페이로드를 가져옵니다.
  • 장기적인 접근을 보장하기 위해 예약된 작업을 통해 지속성이 확보됩니다.
  • 악성 프로세스가 백그라운드에서 실행되는 동안 피해자의 주의를 분산시키기 위해 가짜 PDF 문서가 표시됩니다.

이러한 초기 타협 덕분에 즉각적인 의심을 사지 않고 EndRAT를 배포할 수 있습니다.

EndRAT의 실체: 지속적인 제어 및 데이터 유출

AutoIt을 사용하여 개발된 EndRAT(EndClient RAT이라고도 함)는 공격의 핵심 운영 기반 역할을 합니다. 시스템에 침투하면 감염된 호스트에 대한 완전한 원격 제어를 가능하게 합니다.

EndRAT의 주요 기능은 다음과 같습니다.

  • 명령 실행을 위한 원격 셸 액세스
  • 파일 시스템 조작 및 데이터 유출
  • 피해자와 공격자 간의 안전한 데이터 전송
  • 은밀한 메커니즘을 통한 지속적인 발판 확보

해당 악성 소프트웨어는 장기간 은밀하게 활동하며 지속적인 감시를 통해 내부 문서와 민감한 데이터를 추출할 수 있도록 합니다.

계층형 위협 배치: 복원력을 위한 다중 RAT(원격 접근 트로이목마)

추가적인 포렌식 분석 결과, EndRAT은 단독으로 배포된 것이 아닌 것으로 밝혀졌습니다. RftRAT 및 RemcosRAT과 연결된 AutoIt 기반 스크립트를 포함한 추가적인 악성 구성 요소들이 감염된 환경에 유입되었습니다.

이러한 계층형 배포 전략은 고가치 목표물에 대해 중복 제어 메커니즘을 적용하여 하나의 악성코드 변종이 탐지되거나 제거되더라도 운영 연속성을 보장함을 의미합니다. 여러 RAT(원격 접속 트로이목마) 계열이 존재하면 공격자는 접근 권한을 유지하고 방어 조치에 적응하는 능력이 크게 향상됩니다.

신뢰를 무기화하다: 카카오톡을 악성코드 유포 채널로 활용

이 공격 캠페인의 특징은 감염된 시스템에 설치된 카카오톡 데스크톱 애플리케이션을 악용하는 것입니다. 공격자들은 인증된 사용자 세션을 이용하여 피해자들을 자신도 모르게 악성코드 유포자로 만듭니다.

해킹당한 계정을 이용해 악성 ZIP 파일이 피해자 네트워크 내의 연락처에 선택적으로 전송됩니다. 이러한 파일은 북한 관련 콘텐츠로 위장되는 경우가 많아 사용자가 파일을 열람하고 실행할 가능성을 높입니다.

이 전략은 기존의 신뢰 관계를 활용하여 감염 성공률을 크게 높이고 사회적 및 전문적 네트워크 전반에 걸쳐 표적화된 수평적 이동을 가능하게 합니다.

전술의 진화: 메시지 악용에서 기기 파괴까지

이번 공격은 2025년 11월에 동일한 위협 그룹이 카카오톡 세션을 이용해 악성 압축 파일을 배포했던 활동을 기반으로 합니다. 당시 공격자들은 탈취한 구글 계정 정보를 이용해 피해자의 안드로이드 기기를 원격으로 초기화하기도 했습니다.

메시징 플랫폼의 지속적인 사용은 전통적인 대량 배포 기법보다는 계정 탈취 및 신뢰할 수 있는 커뮤니케이션 채널에 초점을 맞춘 진화하는 전략을 보여줍니다.

전략적 평가: 지속적이고 적응력 있는 위협 모델

이 공격은 초기 침해를 훨씬 넘어 확장되는 고도로 조직화된 다단계 공격 프레임워크의 전형적인 사례입니다. 스피어 피싱, 은밀한 지속성 유지, EndRAT을 통한 고급 원격 접속, 그리고 계정 기반 전파를 결합하여 공격자는 침투 전략에서 깊이와 폭을 모두 확보했습니다.

특정 대상을 선별적으로 공격하고 정교하게 제작된 미끼 콘텐츠를 활용하는 것은 의도적이고 정보에 기반한 접근 방식을 보여줍니다. EndRAT을 핵심 제어 메커니즘으로 사용하는 것은 현대 사이버 스파이 작전에서 EndRAT이 중요한 도구로서 역할을 한다는 것을 입증하며, 이를 통해 신뢰받는 네트워크 전반에 걸쳐 지속적인 접근, 데이터 탈취 및 확장 가능한 감염 사슬을 구축할 수 있습니다.

트렌드

Tarwils.com

불량 웹사이트, 애드웨어
Tarwils.com은 비윤리적인 전술을 사용하는 사기성 웹 페이지로 연결되는 URL입니다. 주요 목표는 전술을 홍보하고 사용자에게 침해적인 브라우저 알림을 전달하는 것입니다. 더욱이, 이 웹사이트는 사용자를 다른 웹사이트로 안내하여 종종 신뢰할 수 없거나 안전하지 않은 목적지로 안내하는 기능을 보유할 수 있습니다. 대부분의 경우 개인은 악성 광고...

SHub Stealer

맥 맬웨어, 도둑들
SHub는 macOS 시스템을 공격하도록 특별히 설계된 정교한 정보 탈취 악성 프로그램입니다. 주요 목표는 브라우저, 암호화폐 지갑 및 다양한 시스템 구성 요소에서 민감한 정보를 추출하는 것입니다. 이 위협은 자격 증명 탈취, 암호화폐 공격 및 지속적인 접근 메커니즘을 단일 캠페인에 결합하기 때문에 특히 위험합니다. 이 악성 프로그램은 사용자를 속여...

Beringlousnet.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
웹 서핑 시 주의를 기울이는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 사이버 범죄자들은 부주의한 사용자를 악용하기 위해 끊임없이 교묘한 수법을 개발하고 있습니다. 악성 웹사이트는 가짜 CAPTCHA 인증과 같은 조작적인 전술을 자주 사용하며, 방문자가 허위로 표시된 '허용' 버튼을 클릭하도록 유도합니다. 이렇게 하면 사용자는 자신도 모르게...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
37,346
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,270
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
30,692
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...