JanelaRAT 악성코드

금융 맬웨어인 JanelaRAT로 추적된 이전에 알려지지 않은 맬웨어 위협이 라틴 아메리카(LATAM) 지역 내의 개인을 대상으로 하는 것으로 사이버 보안 전문가에 의해 기록되었습니다. 이 위협적인 소프트웨어는 손상된 Windows 기반 시스템에서 중요한 데이터를 추출할 수 있습니다.

JanelaRAT는 주로 LATAM 내에서 운영되는 은행 및 금융 기관을 위한 금융 및 암호 화폐 관련 정보를 수집하는 데 사용됩니다. 이 맬웨어는 VMWare 및 Microsoft와 같은 합법적인 엔터티에서 소싱된 DLL 사이드 로딩 방법을 사용합니다. 이 기술을 통해 JanelaRAT는 엔드포인트 보안 조치에 의한 탐지를 피할 수 있습니다.

JanelaRAT 악성코드의 감염 사슬

감염 사슬의 정확한 시작점은 아직까지 확인되지 않았다. 그러나 2023년 6월 캠페인을 식별한 사이버 보안 연구원은 알려지지 않은 방법이 Visual Basic 스크립트가 포함된 ZIP 아카이브 파일을 도입하는 데 사용된다고 보고했습니다.

VBScript는 공격자의 서버에서 두 번째 ZIP 아카이브를 검색하도록 세심하게 제작되었습니다. 또한 손상된 시스템에서 맬웨어의 지속성 메커니즘을 설정하는 데 사용되는 배치 파일을 삭제합니다.

ZIP 아카이브 내에는 JanelaRAT 페이로드와 적법한 실행 파일('identity_helper.exe' 또는 'vmnat.exe')의 두 가지 주요 구성 요소가 번들로 포함되어 있습니다. 이러한 실행 파일은 DLL 사이드 로딩 기술을 통해 JanelaRAT 페이로드를 실행하는 데 사용됩니다.

JanelaRAT 자체는 문자열 암호화를 통합하고 필요할 때 유휴 상태로 전환하는 기능을 가지고 있습니다. 이 기능은 분석 및 감지를 피하는 데 도움이 됩니다. JanelaRAT는 2014년에 처음 발견된 유해한 위협인 BX RAT의 대폭 수정된 버전입니다.

JanelaRAT는 전문화된 침입 기능 목록을 보유하고 있습니다.

트로이 목마에 통합된 새로운 위협 기능 중에는 창 제목을 포착하여 위협 행위자에게 전송하는 기능이 있습니다. 그러나 JanelaRAT는 먼저 새로 손상된 호스트와 공격 작업의 명령 및 제어(C2) 서버 간에 통신을 설정합니다. JanelaRAT는 또한 마우스 입력 모니터링, 키 입력 기록, 스크린샷 캡처 및 시스템 메타데이터 수집 기능을 포함한 추가 기능을 자랑합니다.

그러나 연구자들에 따르면 JanelaRAT 내에서 관찰된 일련의 기능은 BX RAT가 제공하는 것의 하위 집합일 뿐입니다. 분명히 JanelaRAT 개발자는 셸 명령 실행, 파일 조작 또는 프로세스 관리를 위한 기능을 포함하지 않기로 결정했습니다.

소스 코드를 철저히 조사한 결과 포르투갈어로 된 여러 문자열이 발견되었으며, 이는 위협 생성자가 이 특정 언어에 익숙할 가능성을 나타냅니다. 또한 라틴 아메리카(LATAM) 지역에 대한 연결은 은행 및 분산 금융 부문에서 활동하는 법인에 대한 참조에서 찾을 수 있습니다. JanelaRAT와 관련된 VBScript가 칠레, 콜롬비아 및 멕시코로 추적될 수 있다는 사실도 있습니다.