FlawedGrace RAT

FlawedGrace는 TA505 (또는 Hive0065)로 추적되는 재정적 동기의 사이버 범죄자 갱단의 위협적인 무기고의 일부인 본격적인 RAT(원격 액세스 위협)의 이름입니다. 이 그룹은 최소 2014년부터 활동해 왔으며 여러 공격 캠페인을 통해 가장 많이 활동한 그룹 중 하나입니다. TA505의 또 다른 특징은 TTP(전술, 기술 및 절차)와 악성코드 위협 유형 모두에 대해 빈번한 변경을 구현하는 경향입니다. 이 그룹은 Locky 및 Jaff Ransomware 위협, TrickBot 뱅킹 트로이 목마 등을 배포하기 전에 Dridex 뱅킹 트로이 목마를 전달하는 대규모 이메일 스팸 캠페인을 수행하는 것으로 관찰되었습니다.

FlawedGrace 세부 정보

FlawedGrace RAT가 infosec 연구원에 의해 처음 발견된 것은 2017년 11월이었습니다. 이것은 C++ 프로그래밍 언어로 작성된 강력한 RAT입니다. 포트 443을 사용하여 사용자 지정 바이너리 프로토콜을 통해 전송된 Command-and-Control 서버에서 들어오는 여러 명령을 인식할 수 있습니다. 위협 요소는 손상된 추가 모듈을 가져온 다음 로드하고 실행하도록 지시할 수 있습니다. 또한 선택한 파일을 다운로드 및 추출하고 암호 등과 같은 민감한 사용자 정보를 수집할 수 있습니다.

TA505가 수행한 최신 공격 작업에서 FlawedGrace RAT의 업데이트 버전이 배포되었습니다. 변경 사항에 대한 전체 분석이 여전히 진행 중이지만 지금까지 연구원들은 위협이 이제 암호화된 문자열과 난독화된 API 호출을 사용하는 것을 관찰했습니다. 위협 요소가 구성을 저장하는 방식에서 또 다른 차이점이 발견되었습니다. 초기 또는 기본 구성은 시스템에 암호화된 리소스로 저장됩니다. 그런 다음 매핑된 메모리 영역에 배치된 현재 구성 인스턴스와 시스템 레지스트리에 주입된 지속성 메커니즘의 두 가지로 나뉩니다.