GodRAT 트로이 목마

사이버 범죄자들이 다시 한번 금융 기관을 표적으로 삼고 있습니다. 거래 및 중개 회사를 표적으로 삼은 이 공격은 이전에 알려지지 않았던 원격 접속 트로이 목마(RAT)인 GodRAT을 유포하고 있습니다. 이 공격은 금융 문서로 위장한 악성 .SCR 파일을 통해 확산되며, 이 파일은 Skype 메신저를 통해 공유됩니다.

스테가노그래피를 통한 숨겨진 페이로드

최근 조사에 따르면 공격자들은 스테가노그래피를 사용하여 이미지 파일 내에 셸코드를 숨기고 있는 것으로 나타났습니다. 이 숨겨진 명령어는 명령제어(C2) 서버에서 GodRAT을 다운로드하도록 유도합니다. 증거에 따르면 이 캠페인은 2024년 9월 9일부터 계속되고 있으며, 활동은 2025년 8월 12일까지 기록된 것으로 보입니다. 영향을 받은 지역은 홍콩, UAE, 레바논, 말레이시아, 요르단입니다.

고스트 랫에서 갓랫으로

GodRAT은 2008년 소스 코드가 유출되어 중국 위협 단체들이 널리 사용하고 있는 트로이 목마인 Gh0st RAT의 현대적 진화형으로 여겨집니다. 2023년에 발견된 또 다른 Gh0st RAT의 파생형인 AwesomePuppet에서도 유사한 점이 발견되었는데, 이 역시 활발하게 활동하는 Winnti(APT41) 단체의 소행으로 추정됩니다.

이 맬웨어는 플러그인 기반 구조로 설계되어 민감한 정보를 수집하고 AsyncRAT와 같은 추가 페이로드를 배포할 수 있습니다.

감염 사슬 및 기술적 분석

공격은 .SCR 파일이 자동 압축 해제 실행 파일처럼 작동하는 것으로 시작됩니다. 이 파일에는 여러 내장 구성 요소가 포함되어 있는데, 그중에는 합법적인 실행 파일을 통해 사이드로딩된 악성 DLL도 포함됩니다. 이 DLL은 .JPG 이미지에 숨겨진 셸코드를 추출하여 GodRAT을 배포하는 데 사용됩니다.

트로이 목마는 활성화되면 TCP를 통해 C2 서버에 연결하여 시스템 데이터와 설치된 바이러스 백신 도구에 대한 세부 정보를 수집합니다. 이 정보를 전송한 후, C2 서버는 명령을 내립니다. 이러한 명령을 통해 맬웨어는 다음과 같은 작업을 수행할 수 있습니다.

• 수신된 플러그인 DLL을 메모리에 주입합니다.
• 소켓을 닫은 후 해당 프로세스를 종료합니다.
• CreateProcessA API를 사용하여 파일을 다운로드하고 실행합니다.
• Internet Explorer 명령을 통해 특정 URL 열기

플러그인을 통한 기능 확장

주목할 만한 플러그인 중 하나인 FileManager DLL은 공격자에게 피해자 시스템에 대한 광범위한 제어권을 부여합니다. 파일 검색, 조작, 폴더 탐색을 가능하게 하는 동시에 2차 악성코드 배포 도구 역할도 합니다. 확인된 페이로드는 다음과 같습니다.

• Chrome 및 Edge 브라우저를 타겟으로 하는 비밀번호 도용 공격
• 추가 악용을 위한 AsyncRAT 트로이 목마

GodRAT Builder 및 페이로드 옵션

연구원들은 GodRAT 빌더와 전체 클라이언트 소스 코드를 발견하여 그 적응성을 드러냈습니다. 이 빌더는 공격자가 실행 파일이나 DLL을 생성할 수 있도록 합니다. 실행 파일 경로를 선택할 경우, 사용자는 svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe, QQScLauncher.exe 등 합법적인 바이너리를 선택하여 코드 주입을 시도할 수 있습니다.

생성된 페이로드는 .exe, .com, .bat, .scr, .pif 등 다양한 형식으로 저장할 수 있습니다.

레거시 코드, 현대적 위협

GodRAT의 발견은 거의 20년 전에 처음 도입된 Gh0st RAT과 같은 기존 악성코드가 오늘날에도 여전히 심각한 위험을 초래한다는 사실을 보여줍니다. 공격자는 끊임없는 적응과 용도 변경을 통해 이러한 악성코드를 효과적으로 활용하여 사이버 보안 환경에서 장기적인 생존을 보장합니다. GodRAT은 오래된 악성코드 코드베이스조차도 숙련된 공격자의 손에 들어가면 강력한 무기로 기능할 수 있음을 일깨워줍니다.