Steaelite RAT
정보 보안 연구원들이 'Steaelite'라는 새로운 윈도우 기반 원격 접속 트로이목마(RAT)를 발견했습니다. 이 악성 프로그램은 2025년 11월 범죄자 포럼에서 '완전 탐지 불가능(FUD)' 기능을 제공하는 최고의 윈도우 RAT로 홍보된 바 있습니다. 윈도우 10과 윈도우 11 환경 모두에서 원활하게 작동하도록 설계되어 잠재적 피해자 범위를 크게 넓혔습니다.
목차
통합 사이버 범죄 플랫폼: 데이터 탈취와 랜섬웨어의 결합
사이버 범죄자들을 대상으로 판매되는 기존의 상용 RAT(원격 접근 트로이목마)와 달리, Steaelite는 여러 공격 기능을 단일 중앙 집중식 웹 패널에 통합했습니다. 특히, 데이터 탈취 작업과 랜섬웨어 배포를 하나의 통합 프레임워크로 결합했습니다. 안드로이드 랜섬웨어 모듈이 개발 중이라는 소문이 있어 향후 플랫폼 간 확장이 계획되어 있음을 시사합니다.
관리 패널에는 악성 행위를 간소화하기 위한 다양한 개발자용 유틸리티도 포함되어 있습니다.
- 키로깅 기능
- 공격자와 피해자 간의 실시간 채팅
- 파일 검색 기능
- USB 기반 전파
- 데스크톱 배경화면 수정
- 사용자 계정 제어(UAC) 우회
- 암호화폐 거래를 대상으로 하는 클리퍼 기능
스파이 활동, 시스템 교란, 수익 창출 도구를 하나의 대시보드로 통합한 것은 위협 행위자들이 운영 효율성을 높이려는 의도적인 움직임을 반영합니다.
방어적 회피 및 지속 메커니즘
Steaelite는 감염된 시스템에 대한 지배력을 유지하기 위해 공격적인 회피 및 시스템 제어 기능을 통합하고 있습니다. 이러한 기능에는 경쟁 악성 프로그램 제거, Microsoft Defender 비활성화, 탐지를 피하기 위한 보안 예외 설정 등이 포함됩니다. 지속성 메커니즘을 통해 시스템 재부팅 후에도 악성 프로그램이 살아남아 장기간 시스템에 접근할 수 있습니다.
이러한 내장형 방어 대책은 엔드포인트 보안 제어 및 사고 대응 기술에 대한 정교한 이해를 보여줍니다.
광범위한 원격 제어 및 감시 기능
Steaelite는 본질적으로 공격자가 감염된 시스템을 완전히 제어할 수 있도록 설계된 광범위한 원격 관리 및 감시 기능을 제공합니다. 이 멀웨어는 원격 코드 실행을 가능하게 하고 임의 파일 실행을 포함한 포괄적인 파일 관리를 지원합니다. 또한 실시간 화면 스트리밍을 제공하고 피해자의 웹캠과 마이크에 직접 접근하여 실시간 모니터링을 가능하게 합니다. 뿐만 아니라 프로세스 관리, 클립보드 모니터링, 암호 탈취 기능을 제공하며, 설치된 프로그램을 열거하고 장치 위치를 추적하기도 합니다. 공격자는 원격으로 URL을 실행하고, 분산 서비스 거부(DDoS) 공격을 수행하며, 심지어 플랫폼을 통해 VB.NET 페이로드를 직접 컴파일할 수도 있습니다.
이러한 모든 기능은 감염된 Windows 시스템에 대한 명령을 중앙 집중화하는 브라우저 기반 제어판을 통해 실행됩니다. 공격자는 이 단일 인터페이스를 통해 추가 도구나 인프라 없이 자격 증명 탈취, 중요 파일 유출, 실시간 감시, 랜섬웨어 배포 등을 수행할 수 있습니다.
간소화된 이중 갈취 작전 지원
Steaelite의 아키텍처는 단일 공격자가 도구를 전환하지 않고도 모든 범위의 침입 활동을 수행할 수 있도록 지원합니다. 동일한 제어판에서 파일을 탐색하고 유출하고, 자격 증명을 수집하고, 랜섬웨어를 배포할 수 있습니다.
이러한 통합을 통해 탈취한 데이터를 암호화와 결합하여 피해자에게 금전적 압박을 극대화하는 효율적인 이중 협박 캠페인을 단일 통합 플랫폼에서 실행할 수 있습니다.
