ResolverRAT 맬웨어

사이버 보안 연구원들은 의료 및 제약 분야를 노리는 공격에 활발하게 사용되고 있는 ResolverRAT이라는 정교한 원격 접속 트로이목마를 발견했습니다. 이 새롭게 발견된 악성코드는 은밀한 행동과 복잡한 감염 메커니즘으로 인해 심각한 위험을 초래합니다.

피싱 전술: 무기로서의 두려움

이 캠페인은 공포심을 유발하는 피싱 이메일로 시작하는데, 이는 수신자가 악성 링크를 급히 클릭하도록 유도하기 위해 제작되었습니다. 이러한 미끼는 종종 법적 문제나 저작권 침해를 언급하며, 공황 상태를 조성하고 성급한 반응을 유도하도록 설계되었습니다. 링크를 클릭하면 ResolverRAT 감염 경로가 시작되는 파일이 다운로드됩니다.

지역별 기만

이 캠페인에서 눈에 띄는 요소는 현지화된 피싱 콘텐츠를 사용한다는 점입니다. 이메일은 대상 지역의 모국어(힌디어, 이탈리아어, 체코어, 터키어, 포르투갈어, 인도네시아어)로 작성되는데, 이는 공격자가 지역별 맞춤 설정을 통해 감염 성공률을 높이려는 의도를 분명히 보여줍니다.

감염 역학: 은밀한 연쇄 반응

ResolverRAT은 DLL 사이드 로딩을 사용하여 감염 사슬을 시작합니다. 첫 번째 단계에서는 메모리 내 로더를 사용하여 암호화되고 압축되며 디스크에 기록되지 않는 기본 페이로드를 복호화하고 실행합니다. 이러한 기술 덕분에 기존 보안 도구로는 탐지되지 않습니다.

중복성을 통한 회복력

이 악성코드는 단순히 은밀한 기능에만 의존하는 것이 아니라, 생존성을 염두에 두고 설계되었습니다. ResolverRAT은 다중 단계 부트스트래핑 프로세스와 중복 지속성 메커니즘을 사용하여 Windows 파일 시스템과 레지스트리의 여러 위치에 자체적으로 내장됩니다. 이를 통해 악성코드의 일부가 제거되더라도 다시 활성화될 수 있습니다.

고급 C2 인프라: 눈에 띄지 않는 곳에 숨어 있음

ResolverRAT은 활성화되면 인증서 기반 인증을 통해 명령 및 제어(C2) 서버와 통신하며 루트 권한 검증을 우회합니다. 또한, C2 서버 중 하나가 다운될 경우 IP 주소를 변경하여 탐지 및 차단 작업을 더욱 복잡하게 만듭니다.

회피 마스터리: 보이지 않지만 존재함

탐지되지 않기 위해 ResolverRAT은 인증서 고정, 소스 코드 난독화, 그리고 불규칙적인 비컨 패턴을 활용합니다. 이러한 방법들은 자신의 존재를 숨길 뿐만 아니라 보안 시스템에 사용되는 표준 탐지 기술을 무력화합니다.

침묵의 데이터 유출

이 악성코드의 주요 목적은 C2 서버로부터 명령을 수신하여 데이터를 유출하는 것입니다. 대용량 데이터 파일을 16KB 단위로 분할하여 네트워크 모니터링 도구의 탐지 위험을 줄입니다.

귀속 여부는 아직 불분명하지만 패턴이 드러난다

공격 캠페인의 출처는 아직 밝혀지지 않았지만, 인프라, 주제, 기법의 유사성, 특히 DLL 사이드 로딩과 피싱 미끼 사용은 이전에 보고된 공격과의 연관성을 시사합니다. 이러한 중복은 공유된 제휴 네트워크 또는 조직적인 위협 행위자 활동을 시사할 수 있습니다.

결론: 지속적이고 회피적인 사이버 위협

ResolverRAT은 은밀하고 적응력이 뛰어나며 복원력이 뛰어난 차세대 멀웨어의 전형입니다. 최신 사이버 보안 방어 체계에 대한 정교한 이해를 바탕으로 설계된 ResolverRAT은 표적 산업에 강력한 위협이 될 뿐만 아니라, 방어자들에게 최우선 과제로 여겨집니다.