FatalRAT Phishing Attacks Target APAC Industries Using Chinese Cloud Services
- 공격 개요
- FatalRAT 악성코드를 배포하기 위해 아시아-태평양(APAC) 지역의 여러 산업을 대상으로 한 피싱 공격 발생
- 공격자는 중국 클라우드 서비스인 myqcloud CDN과 Youdao Cloud Notes를 공격 인프라로 활용
- 주로 정부 기관, 제조업, 건설업, IT, 통신, 헬스케어, 에너지, 물류 및 운송 분야의 조직이 타깃
- 주요 공격 대상 국가: 대만, 말레이시아, 중국, 일본, 태국, 한국, 싱가포르, 필리핀, 베트남, 홍콩
- 공격 방식 및 주요 특징
- Operation SalmonSlalom으로 명명된 이번 피싱 캠페인은 중국어 사용자를 주요 타깃으로 설정
- 초기 공격 벡터: 중국어 파일명을 가진 ZIP 압축 파일을 포함한 피싱 이메일
- 첫 번째 단계 로더는 Youdao Cloud Notes에서 DLL 파일과 FatalRAT 설정 파일을 다운로드
- 설정 모듈은 추가 메모에서 구성 정보를 불러오며, 의심을 피하기 위해 가짜 파일을 열어 사용자 방심 유도
- DLL 사이드 로딩 기술을 사용해 다단계 감염을 진행하고, 시스템 메모리에 악성코드의 영구성을 숨김
- FatalRAT 악성코드 기능
- 키로깅 및 Master Boot Record (MBR) 손상
- 화면 켜기/끄기, 브라우저 데이터 삭제, 사용자 데이터 검색 및 삭제
- 원격 접속 툴(AnyDesk, UltraViewer) 설치 및 실행
- 프록시 시작/중지, 임의 프로세스 종료
- rundll32.exe 프로세스 모두 종료 후 시스템 및 보안 솔루션 정보 수집
- 17개의 가상 머신 및 샌드박스 환경 감지 메커니즘 포함
- 주요 보안 기술 및 우회 방법
- 합법적인 바이너리 파일 기능을 활용해 이벤트 체인을 정상 활동처럼 위장
- DLL 사이드 로딩으로 악성코드의 영구적 활동 은폐
- 가상 머신 또는 샌드박스 환경에서 탐지 시 악성코드 실행 중단
- 결론
- FatalRAT의 기능은 공격자에게 네트워크 확산, 원격 관리 도구 설치, 기기 조작, 민감 정보 탈취 및 삭제 등 거의 무제한적인 공격 가능성을 제공
- 공격자가 중국어 기반 서비스 및 인터페이스를 지속적으로 활용하고 있어 중국어 사용 가능성 높은 위협 행위자로 분석
- 조직은 이메일 피싱 방어, 악성 DLL 파일 탐지, Endpoint Detection and Response (EDR) 솔루션을 통해 감염을 예방해야 함
- 시스템 로그 및 네트워크 트래픽을 지속적으로 모니터링해 비정상적인 활동을 빠르게 감지할 수 있어야 함
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| PCI DSS 4.0 요구사항 6.4.3 및 11.6.1 준수 방법 (0) | 2025.03.08 |
|---|---|
| GitHub 리포지토리를 통한 악성코드 배포 캠페인 'GitVenom' 분석 (0) | 2025.03.08 |
| 2,500개 이상의 Truesight.sys 드라이버 변종을 활용한 EDR 우회 및 HiddenGh0st RAT 배포 공격 (0) | 2025.03.08 |
| 악성 npm 패키지, 개발자를 노린 공급망 공격 발생 (0) | 2025.03.08 |
| LightSpy 스파이웨어, 100개 이상의 명령으로 제어력 강화 (0) | 2025.03.08 |