GHOSTFORM RAT

GHOSTFORM은 여러 악성 기능을 하나의 실행 파일에 결합하도록 설계된 .NET 기반 원격 접속 트로이목마(RAT)입니다. 이 악성 프로그램은 PowerShell 스크립트를 메모리에서 직접 실행하여 기존 보안 도구로 탐지될 가능성을 낮춥니다. 또한, 보이지 않는 Windows 폼과 지연 실행 타이머와 같은 기법을 사용하여 보안 메커니즘을 더욱 회피합니다. GHOSTFORM은 은밀한 동작과 광범위한 기능을 가지고 있으므로, 탐지 시 즉시 제거 및 사고 대응 절차를 진행해야 합니다.

공격 사슬 1: 다단계 악성코드 배포

첫 번째 공격 경로는 WinRAR처럼 보이도록 설계된 가짜 애플리케이션이 포함된 암호로 보호된 RAR 압축 파일을 전달하는 것으로 시작됩니다. 피해자가 압축 파일을 열면 SPLITDROP이라는 드로퍼가 실행됩니다. 이 드로퍼는 TWINTASK와 TWINTALK라는 두 가지 추가 악성코드 구성 요소를 설치합니다.

SPLITDROP은 처음에 피해자에게 암호를 요구하여 숨겨진 압축 파일을 추출합니다. 시스템에 이미 해당 압축 파일이 있는 경우 실행이 중지됩니다. 그렇지 않은 경우, 드로퍼는 사용자에게 기만적인 오류 메시지를 표시하면서 백그라운드에서 내장된 페이로드를 복호화합니다. 복호화된 내용은 'C:\ProgramData\PolGuid' 디렉터리에 저장되며, 이후 VLC.exe라는 이름의 정상 실행 파일이 실행되어 공격을 계속 진행합니다.

VLC.exe는 실행되면 DLL 사이드 로딩을 통해 TWINTASK라는 악성 동적 링크 라이브러리를 로드합니다. 이 구성 요소는 공격자의 명령을 기다렸다가 PowerShell을 사용하여 실행합니다. 특히 시스템 내에서 지속성을 확보하고 다음 단계의 침해를 시작하기 위해 여러 명령어가 사용됩니다. 이 과정의 일부로 스크립트가 WingetUI.exe를 실행하고 레지스트리 항목을 생성하여 시스템이 재시작될 때마다 VLC.exe와 WingetUI.exe가 자동으로 실행되도록 합니다.

TWINTALK 및 TWINTASK: 통합 명령 실행

WingetUI.exe가 실행되면 TWINTALK라는 악성 모듈이 로드됩니다. 이 구성 요소는 공격자의 명령 및 제어 서버에 연결하여 명령을 가져옵니다. TWINTALK는 TWINTASK와 함께 작동하여 감염된 시스템에서 명령을 실행합니다.

TWINTALK는 세 가지 주요 명령 범주를 지원합니다.

• 감염된 기기에서의 명령 실행
• 공격자 인프라에서 파일 다운로드
• 해킹당한 시스템에서 공격자에게 파일이 업로드되었습니다.

이러한 기능을 통해 공격자는 감염된 환경에 대한 광범위한 제어권을 확보합니다.

공격 연쇄 2: 고스트폼 직접 처형

두 번째 공격 방식은 GHOSTFORM 자체를 사용하여 첫 번째 공격 방식의 여러 구성 요소가 처리하는 모든 기능을 수행합니다. 여러 파일을 배포하거나 DLL 사이드 로딩에 의존하는 대신, 이 변종은 PowerShell 명령을 메모리에서 직접 실행합니다.

탐지를 피하기 위해 악성코드는 실행을 지연시키는 보이지 않는 윈도우 폼을 생성한 후 페이로드를 실행합니다. 또한, 이 공격 캠페인은 피해자가 악성 행위를 시작하도록 유도하기 위해 구글 폼을 소셜 엔지니어링 기법으로 활용합니다.

회피 및 지속 기법

GHOSTFORM은 탐지를 피하고 감염된 시스템에 장기간 접근 권한을 유지하기 위해 여러 가지 메커니즘을 통합하고 있습니다. 이 악성 프로그램은 거의 보이지 않는 윈도우 폼을 생성하여 실행을 의도적으로 지연시키는데, 이 폼은 실행을 계속하기 전에 임의로 결정된 지연 시간을 갖는 타이머를 실행합니다.

또한, 시스템에서 악성코드 인스턴스가 하나만 실행되도록 뮤텍스를 생성하고 감염된 시스템을 추적하기 위한 고유한 봇 식별자를 생성합니다. 이러한 유형의 원격 접속 트로이목마는 일반적으로 추가 페이로드를 배포하거나, 민감한 데이터 및 파일을 탈취하거나, 피해자 환경 내에서 다른 악의적인 작업을 수행하는 데 사용됩니다.

이 캠페인과 일반적으로 연관되는 주요 기능은 다음과 같습니다.

• 추가 악성코드 페이로드 배포
• 감염된 기기에서 정보 및 파일 도난
• PowerShell을 통한 원격 명령 실행
• 손상된 시스템 내에서의 장기적인 지속성

ClickFix 소셜 엔지니어링: 인간 중심의 감염 매개체

이 공격 캠페인은 악성코드 유포에만 의존하는 것이 아닙니다. 클릭픽스(ClickFix) 라는 소셜 엔지니어링 기법을 이용하여 시스템을 공격하기도 합니다. 공격자들은 사용자가 악성 명령어를 실행하도록 유도하기 위해 그럴듯한 가짜 웹페이지를 제작합니다.

예를 들어, 시스코 웹엑스 회의 초대를 위조하거나 합법적으로 보이는 사기성 웹 양식을 사용하는 경우가 있습니다. 피해자는 악성코드를 자동으로 다운로드하고 실행하는 명령어를 실행하도록 유도되어 자신도 모르게 시스템 침해를 시작하게 됩니다.

악성코드와 기만 행위의 결합

이 캠페인은 기술적 악성코드 배포와 심리적 조작을 결합한 조직적인 접근 방식을 보여줍니다. 공격자들은 WinRAR 유틸리티와 유사한 무해한 프로그램으로 위장한 악성 파일을 배포합니다. 이러한 파일을 실행하면 숨겨진 악성코드 구성 요소가 운영 체제에 삽입됩니다.

설치가 완료되면 구성 요소 중 하나가 백그라운드에서 조용히 실행되어 주기적으로 공격자의 서버를 확인하고 암호화된 명령을 PowerShell을 통해 실행합니다. 이와 동시에 ClickFix 유형의 공격은 가짜 설문 조사, 기만적인 회의 초대 또는 사기성 온라인 양식을 이용하여 사용자가 악성코드 다운로드를 유발하는 명령을 실행하도록 유도합니다.

TWINTASK, TWINTALK, GHOSTFORM과 같은 고급 악성코드 도구를 정교하게 설계된 소셜 엔지니어링 기법과 결합함으로써, 공격자들은 시스템 침해 성공률을 크게 높이고 감염된 기기에 대한 지속적인 원격 제어 권한을 유지합니다.