PowerShell RAT

사이버 보안 연구원들은 사이버 범죄자들이 독일의 표적에 대해 악용한 새로운 RAT(원격 액세스 위협)를 식별했습니다. 트로이 목마는 PowerShell RAT로 추적되고 있으며 우크라이나 전쟁을 미끼로 사용하여 손상된 웹사이트를 통해 배포되고 있습니다.

PowerShell RAT는 이러한 유형의 위협에 예상되는 일반적인 기능을 갖추고 있습니다. 대상 시스템에 배포되면 관련 장치 데이터를 수집하기 시작합니다. 이름에서 알 수 있듯이 위협의 주요 기능은 PowerShell 스크립트 명령을 실행하는 것입니다. 또한 위협 행위자는 침해된 시스템에서 선택한 파일을 추출하거나 추가 페이로드를 배포할 수 있습니다. 이를 통해 공격자는 목표에 따라 시스템 내에서 능력을 확장할 수 있습니다. 추가 트로이 목마, 랜섬웨어 위협, 크립토 마이너 등을 다운로드하고 실행할 수 있습니다.

PowerShell RAT를 퍼뜨리는 미끼 웹사이트는 Baden-Württemberg 독일 국가 웹사이트와 매우 유사하도록 설계되었습니다. 위협 행위자들은 이전에 공식 사이트와 연결되었던 도메인인 collaboration-bw(dot)de를 사용하기도 했습니다. 가짜 페이지에서 사용자는 우크라이나 전쟁과 관련된 사건에 대한 정확한 정보를 받게 됩니다. 이 사이트는 방문자가 '2022-Q2-Bedrohungslage-Ukraine.chm.txt'라는 파일을 다운로드하도록 유도할 것입니다. 파일을 열면 예상되는 문제에 대한 가짜 오류 메시지가 표시되고 손상된 스크립트는 백그라운드에서 자동으로 실행됩니다. 스크립트는 PowerShell RAT의 감염 체인을 시작합니다.