Kant's IT/Issue on IT&Security

APAC 산업을 겨냥한 FatalRAT 피싱 공격, 중국 클라우드 서비스 이용

Kant Jo 2025. 3. 8. 22:31

FatalRAT Phishing Attacks Target APAC Industries Using Chinese Cloud Services

 

  • 공격 개요
    • FatalRAT 악성코드를 배포하기 위해 아시아-태평양(APAC) 지역의 여러 산업을 대상으로 한 피싱 공격 발생
    • 공격자는 중국 클라우드 서비스인 myqcloud CDN과 Youdao Cloud Notes를 공격 인프라로 활용
    • 주로 정부 기관, 제조업, 건설업, IT, 통신, 헬스케어, 에너지, 물류 및 운송 분야의 조직이 타깃
    • 주요 공격 대상 국가: 대만, 말레이시아, 중국, 일본, 태국, 한국, 싱가포르, 필리핀, 베트남, 홍콩
  • 공격 방식 및 주요 특징
    • Operation SalmonSlalom으로 명명된 이번 피싱 캠페인은 중국어 사용자를 주요 타깃으로 설정
    • 초기 공격 벡터: 중국어 파일명을 가진 ZIP 압축 파일을 포함한 피싱 이메일
    • 첫 번째 단계 로더는 Youdao Cloud Notes에서 DLL 파일과 FatalRAT 설정 파일을 다운로드
    • 설정 모듈은 추가 메모에서 구성 정보를 불러오며, 의심을 피하기 위해 가짜 파일을 열어 사용자 방심 유도
    • DLL 사이드 로딩 기술을 사용해 다단계 감염을 진행하고, 시스템 메모리에 악성코드의 영구성을 숨김
  • FatalRAT 악성코드 기능
    • 키로깅 및 Master Boot Record (MBR) 손상
    • 화면 켜기/끄기, 브라우저 데이터 삭제, 사용자 데이터 검색 및 삭제
    • 원격 접속 툴(AnyDesk, UltraViewer) 설치 및 실행
    • 프록시 시작/중지, 임의 프로세스 종료
    • rundll32.exe 프로세스 모두 종료 후 시스템 및 보안 솔루션 정보 수집
    • 17개의 가상 머신 및 샌드박스 환경 감지 메커니즘 포함
  • 주요 보안 기술 및 우회 방법
    • 합법적인 바이너리 파일 기능을 활용해 이벤트 체인을 정상 활동처럼 위장
    • DLL 사이드 로딩으로 악성코드의 영구적 활동 은폐
    • 가상 머신 또는 샌드박스 환경에서 탐지 시 악성코드 실행 중단
  • 결론
    • FatalRAT의 기능은 공격자에게 네트워크 확산, 원격 관리 도구 설치, 기기 조작, 민감 정보 탈취 및 삭제 등 거의 무제한적인 공격 가능성을 제공
    • 공격자가 중국어 기반 서비스 및 인터페이스를 지속적으로 활용하고 있어 중국어 사용 가능성 높은 위협 행위자로 분석
    • 조직은 이메일 피싱 방어, 악성 DLL 파일 탐지, Endpoint Detection and Response (EDR) 솔루션을 통해 감염을 예방해야 함
    • 시스템 로그 및 네트워크 트래픽을 지속적으로 모니터링해 비정상적인 활동을 빠르게 감지할 수 있어야 함