PY#RATION 쥐

새로운 공격 캠페인이 야생에서 잡혔습니다. 이 위협적인 작업은 PY#RATION RAT라는 새로운 Python 기반 맬웨어를 사용합니다. 일반적으로 이러한 RAT(원격 액세스 트로이 목마)의 경우와 마찬가지로 PY#RATION에는 데이터 유출 및 키로깅을 비롯한 포괄적인 유해 기능 세트가 있습니다. 이 위협을 특히 독특하게 만드는 것은 명령 및 제어(C2, C&C) 통신 및 유출 모두에 WebSocket을 사용하고 맬웨어 방지 솔루션 및 네트워크 보안 조치의 탐지를 회피하는 기능입니다.

PY#RATION RAT에 대한 세부 정보는 사이버 보안 연구원의 보고서에서 공개되었습니다. 그들의 조사 결과에 따르면 공격의 일부로 사용된 피싱 미끼로 판단할 때 위협 배후의 사이버 범죄자는 주로 영국 또는 북미의 표적에 집중되어 있습니다.

PY#RATION의 공격 체인

공격은 ZIP 아카이브가 포함된 사기성 피싱 이메일로 시작됩니다. 아카이브 안에는 두 개의 바로가기(.LNK) 파일이 있으며, 영국의 정품 운전면허증으로 추정되는 앞면과 뒷면 이미지로 위장되어 있습니다. 이러한 각 .LNK 파일을 열면 원격 서버에서 두 개의 텍스트 파일이 검색된 다음 .BAT 파일로 저장됩니다.

피해자에게 미끼 이미지가 표시되는 동안 유해한 파일은 시스템 백그라운드에서 자동으로 실행됩니다. 또한 'CortanaAssistance.exe'라는 Python 바이너리를 포함하여 다른 페이로드를 가져오는 다른 배치 스크립트가 C2 서버에서 다운로드됩니다. Microsoft의 가상 비서인 Cortana를 사용하는 것은 공격자가 손상된 코드를 합법적인 시스템 파일로 위장하려고 시도했을 수 있음을 암시합니다.

PY#RATION RAT의 해로운 능력

두 개의 PY#RATION 트로이 목마 버전이 감지되었습니다(버전 1.0 및 1.6). 최신 버전에는 거의 1,000줄의 추가 코드가 포함되어 있으며, 여기에는 fernet 모듈을 사용하여 손상된 네트워크와 Python 코드에 대한 암호화 계층을 검사하는 네트워크 스캔 기능이 추가됩니다. 또한 이 위협 요소는 침해된 호스트에서 C2 서버로 또는 그 반대로 파일을 전송할 수 있습니다.

RAT는 키 입력 기록, 시스템 명령 실행, 웹 브라우저에서 암호 및 쿠키 추출, 클립보드 데이터 캡처 및 보안 소프트웨어의 존재 감지를 시작할 수 있습니다. 위협 행위자는 PY#RATION을 웹 브라우저 및 암호화폐 지갑에서 데이터를 수집하기 위해 명시적으로 생성된 또 다른 Python 기반 정보 도용자와 같은 다른 위협의 페이로드를 배포하기 위한 게이트웨이로 활용할 수 있습니다.