Triton RAT의 Telegram 기반 원격 제어 및 정보 탈취 기법 분석

Kant Jo 2025. 5. 10. 22:45

Triton RAT Uses Telegram for Remote System Access and Control

Cado Security Labs has uncovered a new Python-based Remote Access Tool (RAT) named Triton RAT, which leverages Telegram.

gbhackers.com

개요
- Triton RAT은 Python으로 작성된 오픈소스 원격 액세스 트로이 목마(RAT)로, Telegram을 C2(Command and Control) 채널로 활용하여 원격 제어, 정보 탈취, 지속성 확보 등을 수행
- GitHub에 공개된 코드 기반으로 생성되어 누구나 활용 가능하며, 공격자는 Pastebin에 저장된 Base64 인코딩된 Telegram 토큰 및 채팅 ID를 통해 Telegram 봇과 연결
주요 기능
- 정보 수집
  - 키로깅, 클립보드 수집, 화면 캡처, 시스템 정보 및 Wi-Fi 자격 증명 탈취
  - 웹캠 접근 및 사진 촬영 가능
  - 웹 브라우저(Chrome, Edge, Firefox, Brave)로부터 저장된 비밀번호 및 Roblox .ROBLOSECURITY 쿠키 탈취하여 2FA 우회 및 계정 탈취
- 원격 제어 기능
  - 쉘 명령 실행, 배경화면 변경, 파일 업로드 및 다운로드
  - 공격자가 Telegram을 통해 실시간 명령 전송 및 결과 수신 가능
- 탐지 회피
  - 디버깅 툴(xdbg, ollydbg 등) 및 백신 관련 프로세스 탐지 시 실행 중단 또는 우회
  - PyInstaller로 컴파일되어 일반 실행파일처럼 위장
지속성 확보 기법
- updateagent.vbs
  - Windows Defender 비활성화
  - 특정 프로세스 감시
  - 백업 생성 및 스케줄 작업 등록을 통한 자동 실행 설정
- check.bat
  - Dropbox에서 “ProtonDrive.exe” 다운로드 및 은폐 디렉터리에 저장
  - C:\Users\user\AppData\Local\Programs\Proton\Drive 경로에 저장된 파일을 스케줄 작업으로 실행
  - 해당 실행파일은 Triton RAT을 PyInstaller로 빌드한 버전
- 실시간 데이터 전송
  - 탈취된 모든 데이터는 Telegram 봇을 통해 공격자에게 실시간 전송됨
  - 분석 당시 관련 Telegram 채널에는 4,500개 이상의 메시지 존재
공격 인프라 및 IOC
- ProtonDrive.exe를 포함한 악성 페이로드 및 배치/VBS 파일 존재
- Pastebin, Dropbox, Telegram 등 상용 서비스 활용으로 탐지 우회
- 공격자는 단일 봇을 통해 수백 대 이상의 감염된 시스템을 제어할 가능성 보유
결론
- Triton RAT은 사용자 친화적인 Telegram을 기반으로 제어 채널을 구성함으로써 일반적인 보안 감시 체계를 우회하며 고도화된 원격 제어 및 탈취 기능을 수행
- GitHub 기반의 오픈소스로 유포되며 다양한 기능이 탑재되어 있어 Script Kiddie부터 고급 공격자까지 광범위하게 악용될 위험
- 보안 담당자는 Telegram 봇 활동에 대한 모니터링, Pastebin과 같은 코드 전달 채널 차단, PyInstaller 기반 실행파일 탐지, 스케줄 작업 생성 여부 점검 등의 대응이 필요

저작자표시 비영리 변경금지 (새창열림)