Discord 기반 Python RAT 악성코드 분석 및 대응 전략

New Python-Based Discord RAT Targets Users to Steal Login Credentials

 

• 개요
  • Discord API를 C2로 활용하는 Python 기반 원격제어 악성코드(RAT)가 발견되어 사이버보안 위협으로 부상
  • 일반적인 채팅 플랫폼으로 신뢰받는 Discord를 C2로 악용함으로써 탐지 회피 및 피해 확산 우려 증가
• 악성 봇 초기화 및 기본 기능
  • 공격자는 사전 생성한 디스코드 봇의 하드코딩된 토큰을 사용해 RAT를 활성화
  • 봇 권한이 과도하게 설정되어 있어 전체 메시지 열람, 명령 실행 등 공격 수행이 용이
  • 디스코드 메시지 수신(intent 사용)을 통해 피해자의 채팅 내역 및 민감정보 수집
  • Chrome 브라우저의 로컬 DB에서 로그인 정보 탈취 후 공격자에게 디스코드 메시지로 전송
• 주요 악성 기능
  • 백도어 셸 접근 제공: 명령어 실행 및 결과 회신을 Discord를 통해 실시간 전달
  • 스크린샷 캡처 기능 내장: mss 라이브러리를 사용해 피해자 화면 저장 및 전송
  • 디스코드 서버 조작: 채널 삭제 및 재생성 기능으로 피해자 서버 지속 장악
  • 영속성 확보
    • 자동 재연결 기능으로 프로세스 종료 시 자동 복구
    • Windows 시작 레지스트리 수정으로 시스템 재부팅 후에도 실행 유지
• 유포 및 공격 경로
  • 불법 Discord 봇 또는 유틸리티로 위장해 사용자에 의해 직접 실행
  • 봇 실행 후 별도의 다운로드 없이 자체 내장 기능만으로 모든 악성행위 수행
  • Discord 플랫폼 신뢰성을 악용하여 보안 제품 탐지 우회
• 보안 권고
  • EPP 및 EDR 솔루션 도입을 통해 RAT 실행 및 레지스트리 변경 탐지
  • 네트워크 트래픽 분석을 통해 Discord API 호출 이상 행위 식별
  • Chrome Credential DB 접근 시도 및 mss 라이브러리 호출 모니터링
  • 기업 내 Discord 사용 제한 또는 샌드박스 환경 내 격리 운영
  • 하드코딩된 Discord 봇 토큰 정적 분석 기반 YARA 룰 수립 필요
  • 사용자 대상 비공식 유틸리티 및 디스코드 봇 설치 자제 교육 필요
• 결론
  • 커뮤니케이션 플랫폼을 C2 채널로 활용하는 신종 공격 트렌드에 대응하기 위해선 애플리케이션 수준의 행위 기반 분석 체계 강화가 필수적
  • Discord, Telegram 등 신뢰 기반 플랫폼의 오용을 식별하는 위협 인텔리전스 연계 탐지 시나리오 구축이 필요