신비달팽이 쥐

MysterySnail RAT는 infosec 연구원의 조사 결과에 따르면 중국 APT(Advanced Persistent Threat) 그룹 IronHusky와 연결된 위협입니다. 위협은 원격 쉘 유형 트로이 목마로 설명되며 8.29MB로 비정상적으로 큽니다. 비정상적인 크기에는 여러 가지 이유가 있습니다. 첫째, MysterySnail RAT는 OpenSSL 라이브러리를 사용하여 정적으로 컴파일되며 해당 라이브러리에서 사용하지 않은 코드가 있습니다. 둘째, 프로세서 클록 주기를 낭비하는 것 외에는 실용적인 목적이 없는 두 개의 큰 기능이 포함되어 있습니다.

불필요한 코드의 큰 덩어리를 포함하는 이유는 위협의 탐지 방지 및 에뮬레이션 방지 기능을 향상시키기 위한 것입니다. 이 결론은 또한 실제 작업을 수행하는 동안 하나의 내보낸 여러 기능뿐만 아니라 다양한 중복 논리의 포함에 의해 뒷받침됩니다.

MysterySnail RAT의 세부 정보

전체적으로 MysterySnail RAT는 이러한 유형의 가장 정교한 위협이 아닙니다.그러나 삽입된 디스크 드라이브를 감지하거나 프록시 역할을 할 수 있는 것과 같은 확장된 기능 목록(위협은 총 20개의 다른 명령을 인식할 수 있음)으로 보상합니다. Command-and-Control(C&C, C2) 서버에서 적절한 명령을 수신하면 위협 요소는 선택한 파일을 생성, 읽기, 업로드 또는 삭제하여 손상된 시스템의 파일 시스템을 조작할 수 있습니다. MysterySnail RAT는 프로세스를 시작하거나 종료할 수도 있습니다. 또한 공격자가 임의의 명령을 실행할 수 있도록 명령 프롬프트 창을 열 수 있습니다.

MysterySnail RAT가 수행하는 첫 번째 작업 중 하나는 침해된 시스템에 대한 데이터를 수집하는 것입니다. 멀웨어는 컴퓨터 이름, Windows 제품 이름, IP 주소, 사용자 이름 등과 같은 세부 정보를 수집합니다. 수집된 모든 정보는 C2 서버에 업로드됩니다. 서버 주소의 경우 분석된 위협 샘플에는 미끼 역할을 하는 두 개의 하드코딩된 URL이 일반 텍스트로 저장되어 있었습니다. 실제 URL은 'http[.]ddspadus[.]com' 주소를 전달하는 단일 바이트 xor로 디코딩됩니다.