Highly Obfuscated .NET sectopRAT Mimic as Chrome Extension
Highly Obfuscated .NET sectopRAT Mimic as Chrome Extension
SectopRAT, also known as Arechclient2, is a sophisticated Remote Access Trojan (RAT) developed using the .NET framework.
gbhackers.com
- sectopRAT 개요
- .NET 프레임워크로 개발된 고급 원격 액세스 트로이목마(RAT)
- 고급 난독화 기법을 적용하여 분석 및 탐지가 어려움
- 최근 Google Docs로 위장한 악성 Chrome 확장 프로그램을 이용해 사용자 데이터를 탈취하는 캠페인 발견
- 난독화 및 기능
- calli 난독화(calli obfuscator) 기법 사용으로 정적 분석 방해
- 부분적인 코드 복호화 후 주요 기능 확인
- 브라우저 데이터 탈취(쿠키, 저장된 비밀번호, 자동완성 정보, 암호화 키)
- 시스템 정보 수집(하드웨어, 운영체제, 설치된 소프트웨어)
- VPN(NordVPN, ProtonVPN), 게임 플랫폼(Steam), 메시징 앱(Telegram, Discord) 대상 공격
- 암호화폐 지갑 및 FTP 자격 증명 탐색
- 이중 역할 수행: 정보 탈취 및 원격 제어 기능 동시 보유
- C2(Command and Control) 서버와 암호화된 통신 수행
- 주로 포트 9000 및 15647을 통해 데이터 전송
- 악성 Chrome 확장 프로그램 위장
- Google Docs 확장 프로그램으로 위장하여 사용자를 속임
- 감염 후 C2 서버에서 manifest.json, content.js, background.js 파일 다운로드
- 악성 확장 프로그램 기능
- 사용자가 방문하는 모든 웹페이지에 악성 스크립트 삽입
- 사용자 입력 정보(아이디, 비밀번호, 신용카드 정보, 폼 데이터) 가로채기
- 수집한 데이터를 C2 서버로 전송
- 오프라인 Google Docs 편집 기능 제공을 내세우나 실제로는 키로거 및 데이터 유출 도구로 작동
- 주요 침해지표(IOC)
- 파일 해시: EED3542190002FFB5AE2764B3BA7393B
- C2 서버: 91.202.233.18 (포트 9000, 15647)
- 악성 URL
- Mutex Name: 49c5e6d7577e447ba2f4d6747f56c473
- 보안 권고
- C2 서버 차단: 네트워크에서 91.202.233.18에 대한 트래픽 차단
- 파일 모니터링 강화: %AppData%/Local/llg 디렉토리에서 의심스러운 파일 활동 감지
- Chrome 확장 프로그램 점검: 신뢰할 수 없는 확장 프로그램 확인 및 제거
- 행위 기반 탐지 솔루션 활용: 기존 시그니처 기반 탐지를 우회하는 악성코드 대응
- .NET 실행 제한: 신뢰할 수 없는 .NET 애플리케이션 실행 방지 정책 적용
- 결론
- sectopRAT은 크롬 브라우저 확장 프로그램을 활용한 고도화된 사이버 공격을 수행
- 난독화, 안티 가상머신 탐지, 암호화된 C2 통신 등 고급 보안 회피 기술 적용
- 신뢰할 수 있는 소프트웨어로 위장하는 공격 기법 증가에 따라 사용자 보안 인식 및 보안 솔루션 적용 강화 필요
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| FrigidStealer 악성코드, 가짜 브라우저 업데이트를 이용한 macOS 사용자 공격 (0) | 2025.02.28 |
|---|---|
| EagerBee 악성코드, 정부 기관 및 인터넷 서비스 제공업체(ISP) 대상 백도어 공격 (0) | 2025.02.28 |
| DarkMind, 대형 언어 모델(LLM)의 추론 능력을 악용한 백도어 공격 (1) | 2025.02.27 |
| 전자상거래 결제 정보 탈취 악성코드, `<img>` 태그를 이용한 공격 (0) | 2025.02.27 |
| MITRE ATT&CK 프레임워크 강화 연구 및 발전 방향 (0) | 2025.02.27 |