RAT디스펜서

위협 행위자는 RATDispenser라는 JavaScript 로더를 사용하여 여러 맬웨어 제품군을 전달했습니다. 보다 구체적으로 말하면, 전문가들은 2021년에 RATDispenser를 통해 전달된 8개의 서로 다른 RAT(Remote Access Trojans) 계열을 식별했습니다.

위협 행위자는 RATDispenser를 사용하여 손상된 시스템에 초기 발판을 마련합니다. 그런 다음 위협 요소는 장치에 대한 제어를 설정하고 장치에서 민감한 데이터를 빼내는 작업을 수행하는 다음 단계 페이로드를 시작합니다. RATDispencer가 삭제한 관찰된 RAT 위협 중 가장 큰 부분(약 81%)은 STRRAT 및 Houdini (WSH RAT)에 의해 차지되었습니다. 이러한 맬웨어 위협은 감염된 시스템에 대한 원격 액세스를 보호하고 키로깅 루틴을 실행하고 자격 증명을 수집할 수 있습니다.

RAT디스펜서 세부 정보

초기 감염 벡터에는 손상된 첨부 파일이 포함된 유인 이메일 전달이 포함됩니다. 주문에 대한 정보가 포함되어 있다고 주장하는 이메일이 피해자에게 제공될 수 있습니다. 중요하다고 생각되는 정보에 액세스하기 위해 사용자는 일반 텍스트 파일로 위장한 JavaScript 파일인 첨부 파일로 안내됩니다. 피해자가 파일을 더블클릭하면 악성코드가 실행된다.

JavaScript 파일의 첫 번째 작업은 런타임에 자신을 디코딩하고 cmd.exe를 사용하여 %TEMP% 폴더에 VBScript 파일을 만드는 것입니다. 그 후 새로 생성된 VBScript 파일이 시작되어 유해한 페이로드를 다운로드합니다. 작업을 완료하면 파일이 삭제됩니다.

RATDispense는 또한 여러 계층의 난독화 기능을 제공합니다. 결과적으로 위협은 탐지하기가 특히 어려워 RAT 드롭퍼로서의 효율성을 더욱 입증합니다. 가능한 초기 단계에서 공격 체인을 중지하기 위해 적절한 대응 조치를 구현해야 합니다.