JelusRAT
JelusRAT은 사이버 범죄자들이 감염된 컴퓨터를 은밀하게 제어할 수 있도록 해주는 원격 접속 트로이목마(RAT)입니다. C++로 개발된 이 악성코드는 특수 로더를 사용하여 주요 페이로드를 복호화하고 실행합니다. 일반적인 파일 형태로 설치되는 대신 메모리에서 직접 실행되므로 디스크 공간을 거의 차지하지 않아 탐지가 더욱 어렵습니다. 시스템에서 JelusRAT이 발견되면 추가적인 피해를 방지하기 위해 즉시 제거해야 합니다.
목차
위장된 로더와 파일 없는 실행
감염 경로는 정상적인 애플리케이션으로 위장한 로더에서 시작됩니다. 이 로더는 두 개의 암호화된 영역을 숨기고 있는데, 하나는 핵심 악성코드를 담고 있고 다른 하나는 구성 데이터를 저장합니다. 로더가 활성화되면 핵심 페이로드를 복호화하여 시스템 메모리에 직접 실행한 후, 증거를 없애기 위해 스스로 삭제됩니다. 이러한 '파일리스' 기법은 기존의 보안 방어 및 포렌식 분석을 우회하도록 특별히 설계되었습니다.
구성 관리 및 은밀 전술
실행 후, 메인 페이로드는 Info.ini라는 구성 파일에 접근하여 작동 지침을 가져옵니다. 파일을 읽은 직후, 침입 흔적을 최소화하기 위해 파일을 삭제합니다. 이 파일의 데이터는 난독화되어 있으며, 악성코드는 첫 번째 바이트에 있는 작은 값을 이용하여 명령을 실행하기 전에 해독합니다.
원격 제어 기능 및 명령 처리
JelusRAT은 공격자의 서버에서 다양한 명령을 받아들이도록 설계되었습니다. 이 악성 프로그램은 스스로를 중요 시스템 프로세스로 선언할 수 있으며, 따라서 강제로 종료하려는 시도는 Windows 블루스크린을 발생시켜 수동 제거를 효과적으로 차단합니다. 또한, 이 악성 프로그램은 블루스크린 기능을 비활성화하거나, 명령 및 제어 시스템과의 통신 방식을 변경하거나, 명령에 따라 스스로 종료할 수도 있습니다.
플러그인 기반의 모듈형 플랫폼
JelusRAT은 모든 악성 기능을 내부에 포함하기보다는 주로 프레임워크 형태로 작동합니다. 공격자의 서버에서 DLL 플러그인 형태의 추가 기능을 다운로드하여 필요에 따라 기능을 확장할 수 있습니다. 대부분의 기능은 이러한 모듈을 통해 제공되므로 공격자는 전체 페이로드를 재배포하지 않고도 악성코드를 다양한 목표에 맞게 조정할 수 있습니다.
JelusRAT은 다음과 같은 다른 유형의 악성 소프트웨어를 유포하는 데 악용될 수 있습니다.
- 랜섬웨어, 암호화폐 채굴 프로그램 및 정보 탈취 도구
- 시스템 침해를 심화시키거나 확대하는 추가 악성 프로그램
JelusRAT이 심각한 위험을 초래하는 이유는 무엇일까요?
JelusRAT은 은밀하고 매우 유연한 위협으로 두드러집니다. 메모리 내 실행, 자체 삭제 동작, 플러그인 기반 설계 덕분에 탐지를 회피하면서 감염된 시스템에 대한 지속적이고 적응력 있는 제어 권한을 유지할 수 있습니다. 이러한 특징 때문에 JelusRAT은 더욱 파괴적인 악성코드나 대규모 사이버 범죄 작전을 위한 발판으로 쉽게 이용될 수 있어 특히 위험합니다.
일반적인 감염 매개체 및 전파 방식
JelusRAT과 같은 악성 소프트웨어는 주로 소셜 엔지니어링과 기만적인 온라인 수법을 통해 유포됩니다. 공격자는 일반적으로 피해자가 실행 파일, 스크립트, Word, Excel, PDF 또는 ISO 이미지와 같은 문서 형식 등 합법적인 콘텐츠로 위장한 악성 파일을 실행하도록 유도합니다. 감염 캠페인은 이러한 악성 파일을 전달하기 위해 피싱 이메일, 가짜 광고, 기술 지원 사기, 불법 복제 소프트웨어 및 해킹된 웹사이트를 자주 이용합니다.
기존의 유포 경로는 감염된 USB 드라이브, P2P 네트워크, 타사 다운로드 유틸리티, 그리고 패치가 적용되지 않은 소프트웨어 취약점 악용 등을 포함합니다. 대부분의 경우, 사용자가 자신도 모르게 악성코드가 침투할 수 있는 발판을 마련해 주는 행동을 하도록 유도되어 감염이 발생합니다.
