Hackers Exploit Hard Disk Image Files to Deploy VenomRAT
Hackers Exploit Hard Disk Image Files to Deploy VenomRAT
In a recent cybersecurity threat, hackers have been using virtual hard disk image files (.vhd) to distribute the VenomRAT malware.
gbhackers.com
- 공격 개요
- 최근 공격자들이 가상 하드 디스크(VHD) 파일을 활용해 원격 액세스 트로이목마(RAT)인 VenomRAT을 유포
- 피싱 이메일을 통해 구매 주문서로 위장한 첨부 파일을 배포하여 사용자의 클릭을 유도
- 이메일에 포함된 압축 파일 내부의
.vhd파일을 열면 가상 디스크로 자동 마운트되며 악성 배치 스크립트가 실행됨
- 공격 체인
- 사용자가
.vhd파일을 실행하면 디스크가 마운트되고, 그 내부의 배치 스크립트가 실행 - 스크립트는 Base64 및 AES로 암호화되어 있으며, 난독화 및 쓰레기 문자로 분석을 회피
- PowerShell을 통해 악성 명령 실행, 사용자 디렉터리에 파일 복사 및 레지스트리 수정
시작프로그램 폴더에 cmd 스크립트를 설치해 재부팅 후에도 자동 실행되는 지속성(Persistence) 확보- C2 주소는
Pastebin.com에서 불러오며,AppData/Roaming경로에DataLogs.conf파일을 생성하여 키로깅 및 민감 정보 수집
- 사용자가
- 악성 행위 세부 분석
.NET실행 파일과 네트워크 설정용.conf파일을 생성- 설정 파일에는 HVNC(Hidden Virtual Network Computing) 서비스 및 AES 키가 포함되어 있어 시스템 원격 제어 및 암호 해독 수행
- Pastebin과 같은 합법적 서비스 악용하여 C2 서버 주소 은폐 및 탐지 회피
- 보안 권고
- 이메일에 포함된
.vhd,.iso,.img파일 확장자 첨부파일에 대해 사용자 경고 강화 - 스크립트 기반 악성 행위에 대응 가능한 행위 기반 탐지 기능을 갖춘 EDR 또는 SIEM 연동 강화
- Pastebin 등 공용 클라우드 서비스에 대한 트래픽 필터링 적용
- 시스템 시작 시 자동 실행되는 의심 배치파일 존재 여부 점검
DataLogs.conf,synaptics.exe,cmd.bat등 알려진 악성 구성요소에 대한 IOC 연동 탐지
- 이메일에 포함된
- 결론
- VenomRAT 유포 사례는
.vhd가상 디스크와 PowerShell 조합을 통한 비정형 위협 전달 방식이 점점 정교화되고 있음을 시사 - 합법적 포맷을 악용한 초기 침투 방식, 난독화, 암호화, 클라우드 서비스 은폐 등 다계층 회피 기법이 결합된 공격으로 고도화된 보안 탐지체계 필요
- 이메일 보안, 사용자 교육, 스크립트 실행 모니터링, C2 인프라 식별 등 통합적 보안 관리 전략이 요구됨
- VenomRAT 유포 사례는
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 구글, 오픈소스 취약점 스캐너 OSV-Scanner V2.0.0 대규모 업데이트 발표 (0) | 2025.05.01 |
|---|---|
| ZDI-CAN-25373, 윈도우 .lnk 파일 UI 위조 취약점 악용 APT 캠페인 분석 (0) | 2025.05.01 |
| DLL 사이드로딩을 통한 악성 Python 코드 실행 공격 분석 (0) | 2025.05.01 |
| Microsoft 365 인프라를 악용한 정교한 피싱 공격 분석 (0) | 2025.05.01 |
| BADBOX 2.0 봇넷. 광고 사기와 프록시 악용을 위한 100만대 안드로이드 감염 캠페인 분석 (0) | 2025.05.01 |